Microsoft Intuneの新機能 - 前の月

2023 年 9 月 18 日の週 (サービス リリース 2309)

アプリ管理

MAM for Windows の一般提供

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• アプリケーション構成ポリシー (ACP) をIntuneして Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズする
• アプリケーション保護ポリシー (APP) をIntuneして組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認する
• Windows セキュリティセンターの脅威防御をIntune APP と統合して、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
• Microsoft Entra ID経由で保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認するためのアプリケーション保護条件付きアクセス。

Intune Mobile Application Management (MAM) for Windows は、ビルド 10.0.22621 (22H2) 以降のWindows 11で使用できます。 この機能には、Microsoft Intune (2309 リリース)、Microsoft Edge (v117 stable Branch 以降) および Windows セキュリティ Center (v 1.0.2309.xxxxx 以降) のサポート変更が含まれています。 App Protection の条件付きアクセスはパブリック プレビュー段階です。

ソブリン クラウドのサポートは、今後予想されます。 詳細については、「Windows のポリシー設定をアプリ保護する」を参照してください。

デバイス構成

正常に展開されない OEMConfig プロファイルが "保留中" として表示されない

Android Enterprise デバイスの場合は、OEMConfig アプリ (デバイス>>構成Create>プロファイルの種類のプラットフォーム >OEMConfig 用の Android Enterprise) を構成する構成ポリシーを作成できます。

以前は、350 KB を超える OEMConfig プロファイルは"保留中" 状態を示していました。 この動作が変更されました。 350 KB を超える OEMConfig プロファイルは、デバイスに展開されません。 保留中の状態のプロファイル、または 350 KB を超えるプロファイルは表示されません。 正常にデプロイされたプロファイルのみが表示されます。

この変更は UI の変更のみです。 対応する Microsoft Graph API に変更は加えされません。

Intune管理センターでプロファイルの保留中の状態を監視するには、[デバイス>の構成>] [プロファイル>の選択] [デバイスの状態] の順に移動します。

適用対象:

• Android Enterprise

OEM 構成の詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

構成更新設定は、Windows Insider の設定カタログにあります

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、以前に受信したポリシー設定を Windows デバイスに再適用する間隔を設定できます。デバイスをIntuneにチェックする必要はありません。

構成の更新:

• 構成の更新を有効にする
• 更新間隔 (分)

適用対象:

• Windows 11

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Apple 設定カタログで管理設定を使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[管理設定] コマンド内の設定は、[設定カタログ] で使用できます。 Microsoft Intune管理センターでは、プロファイルの種類に関する [デバイス>の構成>Create>iOS/iPadOS>設定カタログ] でこれらの設定を確認できます。

マネージド設定 > App Analytics:

• 有効: true の場合は、アプリ開発者とのアプリ分析の共有を有効にします。 false の場合は、アプリ分析の共有を無効にします。

適用対象:

• 共有された iPad

マネージド設定 > アクセシビリティ設定:

• 太字のテキストが有効
• グレースケールが有効
• コントラストの増加を有効にする
• モーションの軽減を有効にする
• 透明度の削減を有効にする
• テキスト サイズ
• タッチの宿泊施設が有効
• Voice Over Enabled
• ズーム有効

マネージド設定 > ソフトウェア更新プログラムの設定:

• 推奨事項の間隔: この値は、システムがソフトウェア更新プログラムをユーザーに提示する方法を定義します。

マネージド設定 > タイム ゾーン:

• タイム ゾーン: インターネット割り当て番号機関 (IANA) タイム ゾーン データベース名。

適用対象:

• iOS/iPadOS

マネージド設定 > Bluetooth:

• 有効: true の場合は、Bluetooth 設定を有効にします。 false の場合は、Bluetooth 設定を無効にします。

マネージド設定 > MDM オプション:

• 監視中に許可されるアクティブ化ロック: true の場合、監視対象デバイスは、ユーザーが [自分の検索] を有効にしたときにアクティブ化ロックに登録されます。

適用対象:

• iOS/iPadOS
• macOS

これらの設定の詳細については、 Apple の開発者向け Web サイトを参照してください。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を確認するには、Microsoft Intune管理センターで、[プロファイルの種類] の [デバイス>の構成>Create>macOS>設定カタログ] に移動します。

> Microsoft Defenderクラウドで提供される保護の基本設定:

• クラウド ブロックのレベル

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

Zebra Lifeguard Over-the-Air サービスとの統合Intune一般公開

Microsoft Intuneでは、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、OS の更新プログラムとセキュリティ パッチを、Intuneに登録されている対象の Zebra デバイスに対して、空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

この統合は、Android 8 以降を実行している Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで一般提供されるようになりました。 また、Zebra アカウントとプラン 2 またはMicrosoft Intune Suite Intuneも必要です。

以前は、この機能はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「Intuneアドオン」を参照してください。

デバイスの登録

仕事用プロファイルを使用した Android Enterprise フル マネージドデバイスと企業所有デバイスの登録中の SSO サポート

Intuneは、仕事用プロファイルを使用してフル マネージドまたは企業所有の Android Enterprise デバイスでのシングル サインオン (SSO) をサポートします。 登録中に SSO を追加すると、デバイスを登録するエンド ユーザーは、職場または学校アカウントで 1 回だけサインインする必要があります。

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス
• 完全に管理されている Android Enterprise

これらの登録方法の詳細については、次を参照してください。

• 仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの Intune 登録の設定
• Android Enterprise フル マネージド デバイスの登録を設定する

デバイス管理

macOS でのリモート ヘルプの概要

リモート ヘルプ Web アプリを使用すると、ユーザーは macOS デバイスに接続し、表示専用のリモート アシスタンス セッションに参加できます。

適用対象:

• 11 ビッグ サー
• 12 モントレー
• 13 ベンチュラ

macOS でのリモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

管理証明書の有効期限

管理証明書の有効期限は、[ デバイス] ワークロードの列として使用できます。 管理証明書の有効期限の範囲をフィルター処理し、フィルターに一致する有効期限が設定されたデバイスの一覧をエクスポートすることもできます。

この情報は、管理センター Microsoft Intune [デバイス>] [すべてのデバイス] の順に選択して使用できます。

Windows Defender アプリケーション制御 (WDAC) 参照が App Control for Business に更新されます

Windows Windows Defenderアプリケーション コントロール (WDAC) の名前が App Control for Business に変更されました。 この変更により、Intune ドキュメント内の参照とIntune管理センターがこの新しい名前を反映するように更新されます。

Intuneでは、最小バージョンとして iOS/iPadOS 15.x がサポートされます

Apple は iOS/iPadOS バージョン 17 をリリースしました。 現在、Intuneでサポートされている最小バージョンは iOS/iPadOS 15.x です。

適用対象:

• iOS/iPadOS

この変更の詳細については、「変更の計画: Intune iOS/iPadOS 15 以降のサポートに移行する」を参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 詳細については、「 ユーザーレス デバイスでサポートされている iOS/iPadOS バージョンと許可されている iOS/iPadOS バージョンのサポート ステートメント」を参照してください。

エンドポイント セキュリティアプリケーション制御ポリシーとマネージド インストーラーに対する政府テナントのサポート

エンドポイント セキュリティ アプリケーション制御ポリシーを使用し、マネージド インストーラーを構成するためのサポートを次のソブリン クラウド環境に追加しました。

• 米国政府機関向けクラウド
• 21中国のVianet

アプリケーション制御ポリシーとマネージド インストーラーのサポートは、もともと 2023 年 6 月にプレビュー段階でリリースされました。 Intuneのアプリケーション制御ポリシーは、Defender Application Control (WDAC) の実装です。

デバイスのセキュリティ

Windows 365 デバイスに対する Endpoint Privilege Management のサポート

エンドポイント特権管理を使用して、Windows 365 デバイス (クラウド PC とも呼ばれます) 上のアプリケーション昇格を管理できるようになりました。

このサポートには、Azure Virtual Desktop は含まれません。

エンドポイント特権管理のパブリッシャー別昇格レポート

Endpoint Privilege Management (EPM) の パブリッシャーによる昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権のアプリの発行元によって集計されたすべての管理された昇格と管理されていない昇格を表示できます。

レポートは、Intune管理センターの EPM のレポート ノードにあります。 [エンドポイント セキュリティ>エンドポイント特権管理] に移動し、[レポート] タブを選択します。

Intune エンドポイントの検出と応答に関するエンドポイント セキュリティ ポリシーを使用した macOS のサポート

Intuneエンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーで macOS がサポートされるようになりました。 このサポートを有効にするために、 macOS 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、Defender for Endpoint セキュリティ設定管理シナリオのオプトイン パブリック プレビューを通じて管理される、Intuneおよび macOS デバイスに登録されている macOS デバイスで使用します。

macOS 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに次の設定が含まれています。

• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。
• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。

macOS で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの「macOS でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

エンドポイントの検出と応答Intuneエンドポイント セキュリティ ポリシーを使用した Linux サポート

Intuneエンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーで Linux がサポートされるようになりました。 このサポートを有効にするために、Linux 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、Defender for Endpoint セキュリティ設定管理シナリオのオプトイン パブリック プレビューを通じて管理される、Intuneおよび Linux デバイスに登録されている Linux デバイスで使用します。

Linux 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに対して次の設定が含まれています。

• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。
• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。

Linux で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの「Linux でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

監視とトラブルシューティング

Windows 10 以降の更新リングに関する更新されたレポート

Windows 10以降の更新リングのレポートは、Intuneの改善されたレポート インフラストラクチャを使用するように更新されました。 これらの変更は、他のIntune機能に対して導入された同様の機能強化に合わせて調整されます。

Windows 10以降の更新リングのレポートに対するこの変更により、Intune管理センターで更新リング ポリシーを選択すると、[概要]、[管理]、または [監視] オプションの左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、次のポリシーの詳細が含まれる 1 つのペインが表示されます。

• Essentials - ポリシー名、作成日と変更日、詳細など。
• デバイスとユーザーのチェック状態 – このビューは既定のレポート ビューであり、次のものが含まれます。
  • このポリシーのデバイスの状態の概要と、より包括的な レポート ビュー を開く [レポートの表示] ボタン。
  • ポリシーに割り当てられたデバイスによって返されるさまざまなデバイスステータス値の合理化された表現と数。 簡略化された横棒グラフとグラフは、以前のレポート表示で見られた以前のドーナツ グラフを置き換えます。
• 他の 2 つのレポート タイルで、より多くのレポートを開きます。 これらのタイルには、次のものが含まれます。
  • デバイスの割り当て状態 – このレポートは、以前のデバイス状態レポートと同じ情報を組み合わせたものであり、ユーザーの状態レポートは使用できなくなります。 ただし、この変更により、ユーザー名に基づくピボットとドリルインは使用できなくなります。
  • 設定の状態ごとの – この新しいレポートは、既定値とは異なる方法で構成された各設定の成功メトリックを提供し、organizationに正常にデプロイされていない可能性がある設定に関する新しい分析情報を提供します。
• プロパティ – 各領域プロファイルの詳細を 編集 するオプションなど、ポリシーの各構成ページの詳細を表示します。

Windows 10以降の更新リングのレポートの詳細については、Microsoft IntuneのWindows Update レポートの「Windows 10以降の更新リングのレポート」を参照してください。

ロールベースのアクセス

UpdateEnrollment のスコープの更新

新しいロール UpdateEnrollment の導入により、 UpdateOnboarding のスコープが更新されます。

カスタムロールと組み込みロールの UpdateOnboarding 設定は、Android Enterprise バインドをマネージド Google Play やその他のアカウント全体の構成のみに管理または変更するように変更されます。 UpdateOnboarding を使用した組み込みロールには、UpdateEnrollmentProfiles が含まれるようになりました。

リソース名は Android から AndroidEnterprise に更新されています。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

2023 年 9 月 11 日の週

デバイス構成

リモート ヘルプでのリモート起動の概要

リモート起動を使用すると、ヘルパーは、ユーザーのデバイスに通知を送信することで、Intuneからヘルパーとユーザーのデバイスでリモート ヘルプをシームレスに起動できます。 この機能を使用すると、ヘルプデスクと共有者の両方がセッション コードを交換することなく、セッションにすばやく接続できます。

適用対象:

• Windows 10 または 11

詳細については、「リモート ヘルプ」を参照してください。

2023 年 9 月 4 日の週

デバイス管理

Microsoft Intune 2024 年 8 月に GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了しました

Microsoft Intuneは、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。

現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。

詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

2023 年 8 月 28 日の週

デバイス構成

SCEP および PFX 証明書プロファイルの 4096 ビット キー サイズに対する Windows と Android のサポート

Intune WINDOWS および Android デバイスの SCEP 証明書プロファイルと PKCS 証明書プロファイルで、キー サイズ (ビット)が 4096 にサポートされるようになりました。 このキー サイズは、編集する新しいプロファイルと既存のプロファイルで使用できます。

• SCEP プロファイルには常に キー サイズ (ビット) 設定が含まれており、使用可能な構成オプションとして 4096 がサポートされるようになりました。
• PKCS プロファイルには、 キー サイズ (ビット) 設定は直接含まれません。 代わりに、管理者は 証明機関の証明書テンプレートを変更 して 、最小キー サイズ を 4096 に設定する必要があります。

サード パーティ証明機関 (CA) を使用する場合は、4096 ビット キー サイズの実装に関するサポートをベンダーに問い合わせる必要がある場合があります。

この新しいキー サイズを利用するために新しい証明書プロファイルを更新または展開する場合は、配置方法をずらして使用することをお勧めします。 この方法は、多数のデバイス間で同時に新しい証明書に対する過剰な需要を生じないようにするのに役立ちます。

この更新プログラムでは、Windows デバイスで次の制限事項に注意してください。

• 4096 ビット キー ストレージは、 ソフトウェア キー ストレージ プロバイダー (KSP) でのみサポートされます。 次は、このサイズのキーの格納をサポートしていません。
  • ハードウェア TPM (トラステッド プラットフォーム モジュール)。 回避策として、キー ストレージにソフトウェア KSP を使用できます。
  • Windows Hello for Business。 現時点では回避策はありません。

テナント管理

複数の管理者承認のアクセス ポリシーが一般公開されました

複数の管理者承認のアクセス ポリシーはパブリック プレビューから外れ、一般公開されるようになりました。 これらのポリシーを使用すると、アプリのデプロイなどのリソースを保護できます。その変更が適用される前に、デプロイに対する変更を、リソースの 承認者 であるユーザーグループの 1 人が承認するように要求します。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

2023 年 8 月 21 日の週 (サービス リリース 2308)

アプリ管理

エンド ユーザーマネージド ホーム スクリーン正確なアラームアクセス許可の付与を求めるメッセージが表示される

マネージド ホーム スクリーンでは、正確なアラームアクセス許可を使用して、次のアクションを実行します。

• デバイスで一定時間非アクティブ状態が発生した後にユーザーを自動的にサインアウトする
• 一定の非アクティブ期間の後にスクリーン セーバーを起動する
• ユーザーがキオスク モードを終了した一定期間後に MHS を自動的に再起動する

Android 14 以降を実行しているデバイスの場合、既定では、正確なアラームのアクセス許可が拒否されます。 重要なユーザー機能が影響を受けないように、エンド ユーザーは、マネージド ホーム スクリーンの初回起動時に正確なアラームアクセス許可を付与するように求められます。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリの構成」および「Android の開発者向けドキュメント」を参照してください。

マネージド ホーム スクリーン通知

API レベル 33 をターゲットとする Android 13 以降を実行している Android デバイスの場合、既定では、アプリケーションには通知を送信するアクセス許可がありません。 以前のバージョンのマネージド ホーム スクリーンでは、管理者がマネージド ホーム スクリーンの自動再起動を有効にしていた場合、再起動のユーザーに警告する通知が表示されていました。 通知アクセス許可の変更に対応するために、管理者がマネージド ホーム スクリーンの自動再起動を有効にしたシナリオでは、再起動のユーザーに通知するトースト メッセージがアプリケーションに表示されるようになります。 マネージド ホーム スクリーンは、この通知のアクセス許可を自動付与できるため、管理者が API レベル 33 の通知アクセス許可の変更に対応するようにマネージド ホーム スクリーンを構成する場合に変更は必要ありません。 Android 13 (API レベル 33) の通知メッセージの詳細については、 Android 開発者向けドキュメントを参照してください。 マネージド ホーム スクリーンの詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

新しい macOS Web クリップ アプリの種類

Intuneでは、エンド ユーザーは macOS デバイス上のドックに Web アプリをピン留めできます (アプリ>macOS MacOS>Web クリップの追加>)。

適用対象:

• macOS

構成できる設定の関連情報については、「Web アプリをMicrosoft Intuneに追加する」を参照してください。

Win32 アプリ構成可能なインストール時間

Intuneでは、構成可能なインストール時間を設定して Win32 アプリを展開できます。 この時間は分単位で表されます。 設定されたインストール時間よりもアプリのインストールに時間がかかる場合、システムはアプリのインストールに失敗します。 最大タイムアウト値は 1440 分 (1 日) です。 Win32 アプリの詳細については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。

Samsung Knox 条件付き起動チェック

Samsung Knox デバイスでデバイスの正常性侵害の検出をさらに追加できます。 新しいIntune App Protection ポリシー内で条件付き起動チェックを使用して、互換性のある Samsung デバイスでハードウェア レベルのデバイス改ざん検出とデバイス構成証明を実行するように要求できます。 詳細については、Microsoft Intuneの Android アプリ保護ポリシー設定の条件付き起動セクションの Samsung Knox デバイス構成証明設定に関するページを参照してください。

デバイス構成

パブリック プレビューでの Android 用のリモート ヘルプ

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスのパブリック プレビューで利用できます。 リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「Android でのリモート ヘルプ」を参照してください。

グループ ポリシー分析は一般公開されています

グループ ポリシー分析は一般提供 (GA) です。 グループ ポリシー分析を使用して、オンプレミスのグループ ポリシー オブジェクト (GPO) を分析して、Intune ポリシー設定への移行を分析します。

適用対象:

• Windows 11
• Windows 10

グループ ポリシー分析の詳細については、「Microsoft Intuneでグループ ポリシー分析を使用してオンプレミス GPO を分析する」を参照してください。

Apple 設定カタログで使用できる新しい SSO、ログイン、制限、パスコード、改ざん防止の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune管理センターで、[デバイス>の構成>Create>iOS/iPadOS または macOS>の設定カタログでプロファイルの種類を確認します。

iOS/iPadOS 17.0 以降

制限事項:

• Mac で iPhone ウィジェットを許可する

macOS

> Microsoft Defender改ざん防止:

• プロセスの引数
• プロセス パス
• プロセスの署名識別子
• プロセスのチーム識別子
• プロセスの除外

macOS 13.0 以降

認証 >拡張可能なシングル サインオン (SSO):

• アカウントの表示名
• その他のグループ
• 管理者グループ
• 認証方法
• 承認権限
• グループ
• 承認グループ
• 承認を有効にする
• ログイン時Createユーザーを有効にする
• ログイン頻度
• 新しいユーザー承認モード
• アカウント名
• 姓名
• トークンからユーザーへのマッピング
• ユーザー承認モード
• 共有デバイス キーを使用する

macOS 14.0 以降

ログイン > ログイン ウィンドウの動作:

• 自動ログイン パスワード
• Autologin Username

制限事項:

• ARD リモート管理の変更を許可する
• Bluetooth 共有の変更を許可する
• Cloud Freeform を許可する
• ファイル共有の変更を許可する
• インターネット共有の変更を許可する
• ローカル ユーザーの作成を許可する
• プリンター共有の変更を許可する
• リモート Apple イベントの変更を許可する
• スタートアップ ディスクの変更を許可する
• Time Machine Backup を許可する

セキュリティ > パスコード:

• パスワード コンテンツの説明
• パスワード コンテンツ正規表現

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントの Just-In-Time 登録とコンプライアンスの修復が一般公開されました

先進認証を使用したセットアップ アシスタントの Just-In Time (JIT) 登録とコンプライアンスの修復がプレビューから外れ、一般公開されるようになりました。 ジャスト イン タイム登録では、デバイス ユーザーは登録とコンプライアンスチェックにポータル サイト アプリを使用Microsoft Entra必要はありません。 JIT 登録とコンプライアンスの修復は、ユーザーのプロビジョニング エクスペリエンスに埋め込まれているため、コンプライアンスの状態を表示し、アクセスしようとしている作業アプリ内でアクションを実行できます。 また、これにより、デバイス全体でシングル サインオンが確立されます。 JIT 登録を設定する方法の詳細については、「 Just in Time Registration を設定する」を参照してください。

iOS/iPadOS の自動デバイス登録の最終構成を待つ一般公開

一般公開され、 最終的な構成を待機 すると、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新規および既存の登録プロファイルを対象とするデバイスで機能します。 サポートされているデバイスには以下が含まれます。

• 最新の認証を使用してセットアップ アシスタントに登録する iOS/iPadOS 13 以降のデバイス
• ユーザー アフィニティなしで登録されている iOS/iPadOS 13 以降のデバイス
• Microsoft Entra ID共有モードで登録されている iOS/iPadOS 13 以降のデバイス

この設定は、セットアップ アシスタントのすぐに使用できる自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーがデバイスを再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。 新しい登録プロファイルでは、最終構成の待機が既定で有効になっています。 最終構成の待機を有効にする方法については、「Apple 登録プロファイルのCreate」を参照してください。

デバイス管理

Android 通知アクセス許可プロンプトの動作に対する変更

Android アプリが通知アクセス許可を処理する方法を更新し、Google が Android プラットフォームに加えた最近の変更に合わせて調整しました。 Google が変更された結果、通知アクセス許可はアプリに次のように付与されます。

• Android 12 以前を実行しているデバイスでは、アプリは既定でユーザーに通知を送信できます。
• Android 13 以降を実行しているデバイスの場合: 通知のアクセス許可は、アプリのターゲットとなる API によって異なります。
  • API 32 以下を対象とするアプリ: ユーザーがアプリを開いたときに表示される通知アクセス許可プロンプトが Google によって追加されました。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。
  • API 33 以降を対象とするアプリ: アプリ開発者は、通知アクセス許可のプロンプトが表示されるタイミングを定義します。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。

ユーザーとデバイス ユーザーは、アプリが API 33 をターゲットにした後、次の変更が表示されることを期待できます。

• 仕事用プロファイル管理に使用されるポータル サイト: ユーザーが最初に開いたときに、ポータル サイトの個人用インスタンスに通知アクセス許可プロンプトが表示されます。 ポータル サイトの仕事用プロファイル インスタンスに通知アクセス許可プロンプトが表示されないのは、通知のアクセス許可が仕事用プロファイルのポータル サイトに対して自動的に許可されるためです。 ユーザーは、設定アプリでアプリの通知を無音にすることができます。
• デバイス管理者の管理に使用されるポータル サイト: ユーザーが最初にポータル サイト アプリを開いたときに通知アクセス許可プロンプトが表示されます。 ユーザーは、設定アプリでアプリの通知設定を調整できます。
• Microsoft Intune アプリ: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリで一部のアプリ通知設定を調整できます。
• AOSP 用アプリMicrosoft Intune: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリでアプリの通知設定を調整できません。

デバイスのセキュリティ

Defender 用の更新プログラムを展開するための Defender Update コントロールが一般公開されました

Microsoft Defenderの更新設定を管理するIntune エンドポイント セキュリティ ウイルス対策ポリシーのプロファイル Defender Update コントロールが一般公開されました。 このプロファイルは、Windows 10、Windows 11、および Windows Server プラットフォームで使用できます。 パブリック プレビューでは、このプロファイルはWindows 10以降のプラットフォームで使用できます。

プロファイルには、デバイスとユーザーが Defender Updatesを受け取るロールアウト リリース チャネルの設定が含まれています。これは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月次エンジン更新プログラムに関連します。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジン Updates チャネル
• プラットフォーム Updates チャネル
• セキュリティ インテリジェンス Updates チャネル

これらの設定は、Windows 10以降のプロファイルの設定カタログからも使用できます。

Endpoint Privilege Management のアプリケーション別の昇格レポート

Endpoint Privilege Management (EPM) の アプリケーション別の昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権を持つアプリケーションによって集計されたすべての管理された昇格と管理されていない昇格を表示できます。 このレポートは、昇格ルールを適切に機能させる必要があるアプリケーション (子プロセスのルールなど) を特定するのに役立ちます。

レポートは、Intune管理センターの EPM のレポート ノードにあります。 [エンドポイント セキュリティ>エンドポイント特権管理] に移動し、[レポート] タブを選択します。

macOS ウイルス対策ポリシーで使用できる新しい設定

macOS デバイスのMicrosoft Defenderウイルス対策プロファイルは、さらに 9 つの設定と 3 つの新しい設定カテゴリで更新されました。

ウイルス対策エンジン – このカテゴリでは、次の設定が新しく追加されました。

• オンデマンド スキャンの並列処理の程度 – オンデマンド スキャン の並列処理の程度を指定します。 この設定は、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
• ファイル ハッシュ計算を有効にする – ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Windows Defenderはスキャンするファイルのハッシュを計算します。 この設定は、カスタム インジケーターの一致の精度を向上させるのに役立ちます。 ただし、[ファイル ハッシュの計算を有効にする] を有効にすると、デバイスのパフォーマンスに影響する可能性があります。
• 定義が更新された後にスキャンを実行する – 新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
• アーカイブ ファイル内のスキャン – true の場合、Defender はアーカイブを開梱し、その中のファイルをスキャンします。 それ以外の場合、アーカイブ コンテンツはスキップされ、スキャンパフォーマンスが向上します。

ネットワーク保護 – 次の設定を含む新しいカテゴリ。

• 適用レベル – この設定を構成して、ネットワーク保護を 無効にするか、 監査モードで、または適用するかを指定 します。

改ざん防止 - 次の設定を含む新しいカテゴリ。

• 適用レベル - 改ざん防止を 無効にするか、 監査モードで、または 適用するかを指定します。

ユーザー インターフェイスの基本設定 – 次の設定を含む新しいカテゴリ。

• コンシューマー バージョンへのサインインを制御する - ユーザーがコンシューマー バージョンのMicrosoft Defenderにサインインできるかどうかを指定します。
• [状態メニュー アイコンの表示/非表示] – 状態メニュー アイコン (画面の右上隅に表示) を非表示にするかどうかを指定します。
• [ユーザーが開始したフィードバック] – [フィードバックの送信に関するヘルプ>] に移動して、ユーザーが Microsoft にフィードバックを送信できるかどうかを指定します。

作成する新しいプロファイルには、元の設定と新しい設定が含まれます。 既存のプロファイルは、新しい設定を含むように自動的に更新され、そのプロファイルを編集して変更するまで、新しい設定はそれぞれ [未構成 ] に設定されます。

エンタープライズ組織の macOS でMicrosoft Defender for Endpointの基本設定を設定する方法の詳細については、「macOS でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• VerityRMS by Mackey LLC (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows 診断 データで CloudDesktop ログが収集されるようになりました

Windows デバイスから診断を収集するIntuneリモート アクションに、ログ ファイルにデータが含まれるようになりました。

ログ ファイル:

• %temp%\CloudDesktop*.log

Intune エンドポイント分析の異常検出デバイス コーホートが一般公開

Intune Endpoint Analytics の異常検出デバイス コーホートが一般公開されました。

デバイス コーホートは、重大度が高または中の異常に関連付けられているデバイスで識別されます。 デバイスは、アプリのバージョン、ドライバーの更新プログラム、OS のバージョン、デバイス モデルなど、共通する 1 つ以上の要因に基づいてグループに関連付けられます。 関連付けグループには、そのグループ内のすべての影響を受けるデバイス間の一般的な要因に関する重要な情報を含む詳細ビューが含まれます。 また、現在異常の影響を受けているデバイスと "危険な状態" のデバイスの内訳を表示することもできます。 "危険にさらされている" デバイスには、異常の症状がまだ示されていません。

詳細については、「 Endpoint analytics での異常検出」を参照してください。

Endpoint Analytics でのデバイス タイムラインのユーザー エクスペリエンスの向上

Endpoint analytics のデバイス タイムラインのユーザー インターフェイス (UI) が改善され、より高度な機能 (並べ替え、検索、フィルター処理、エクスポートのサポート) が含まれています。 エンドポイント分析で特定のデバイス タイムラインを表示する場合は、イベント名または詳細で検索できます。 また、イベントをフィルター処理し、デバイス タイムラインに表示されるイベントのソースとレベルを選択し、対象の時間範囲を選択することもできます。

詳細については、「拡張デバイスのタイムライン」を参照してください。

コンプライアンス ポリシーとレポートのUpdates

Intuneコンプライアンス ポリシーとレポートに対していくつかの機能強化が行われました。 これらの変更により、レポートは、デバイス構成プロファイルとレポートで使用されるエクスペリエンスとより密接に一致します。 コンプライアンス レポートのドキュメントを更新し、利用可能なコンプライアンス レポートの機能強化を反映しました。

コンプライアンス レポートの機能強化は次のとおりです。

• Linux デバイスのコンプライアンスの詳細。
• 新しいレポート バージョンが古いレポート バージョンに置き換わり始めたため、最新のレポートと簡略化された再設計されたレポートは、しばらくの間使用できなくなります。
• コンプライアンスに関するポリシーを表示する場合、左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、既定では [モニター] タブとその [デバイスの状態] ビューが表示されます。
  • このビューでは、このポリシーのデバイス状態の概要、完全なレポートを確認するためのドリルイン、および同じポリシーの設定ごとの状態ビューがサポートされます。
  • ドーナツ グラフは、効率的な表現と、ポリシーが割り当てられたデバイスによって返されるさまざまなデバイスの状態値の数に置き換えられます。
  • [プロパティ] タブを選択してポリシーの詳細を表示し、その構成と割り当てを確認して編集できます。
  • [Essentials] セクションが削除され、これらの詳細がポリシーの [プロパティ] タブに表示されます。
• 更新された状態レポートでは、列別の並べ替え、フィルターの使用、検索がサポートされます。 これらの機能強化を組み合わせることで、レポートをピボットして、その時点で表示する特定の詳細のサブセットを表示できます。 これらの機能強化により、 ユーザーの状態 レポートが冗長になったため削除されました。 これで、既定の [デバイスの状態] レポートを表示しているときに、[ユーザー プリンシパル名] 列を並べ替えたり、検索ボックスで特定のユーザー名を検索したりして、ユーザーの状態から使用できる情報と同じ情報をレポートに表示できます。
• 状態レポートを表示するときに、詳細な分析情報や詳細を確認するときに、表示Intuneデバイスの数が異なるレポート ビュー間で一貫性を保つようになりました。

これらの変更の詳細については、Intune サポート チームのブログをhttps://aka.ms/Intune/device_compl_report参照してください。

2023 年 8 月 14 日の週

アプリ管理

[ストア アプリケーションの無効化] 設定を使用して、ストア アプリへのエンド ユーザー アクセスを無効にし、マネージド Intune ストア アプリを許可します

Intuneでは、新しいストア アプリの種類を使用して、ストア アプリをデバイスに展開できます。

これで、[ ストア アプリケーションの無効化 ] ポリシーを使用して、エンド ユーザーのストア アプリへの直接アクセスを無効にすることができます。 無効にすると、エンド ユーザーは引き続き Windows ポータル サイト アプリから、およびアプリ管理を通じてストア アプリIntuneアクセスしてインストールできます。 Intuneの外部でランダム ストア アプリのインストールを許可する場合は、このポリシーを構成しないでください。

前の Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示しても、エンド ユーザーが Windows パッケージ マネージャー winget API を使用してストアに直接アクセスすることはできません。 そのため、クライアント デバイスへのランダムなアンマネージド ストア アプリケーションのインストールをブロックすることが目標の場合は、[ ストア アプリケーションの無効化 ] ポリシーを使用することをお勧めします。 Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示する を使用しないでください。 適用対象:

• Windows 10 以降

詳細については、「Microsoft Intuneに Microsoft Store アプリを追加する」を参照してください。

2023 年 8 月 7 日の週

役割ベースのアクセス制御

Android for work リソースの下に新しいロールベースのアクセス制御 (RBAC) アクセス許可を導入する

android for work リソースの下で、Intuneでカスタム ロールを作成するための新しい RBAC アクセス許可について説明します。 [ 登録プロファイルの更新 ] 権限を使用すると、管理者は、デバイスの登録に使用される AOSP と Android Enterprise Device Owner の両方の登録プロファイルを管理または変更できます。

詳細については、「カスタム ロールのCreate」を参照してください。

2023 年 7 月 31 日の週

デバイスのセキュリティ

Intuneのエンドポイント セキュリティ ディスク暗号化ポリシーの新しい BitLocker プロファイル

エンドポイント セキュリティ ディスク暗号化ポリシー用の新しい BitLocker プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成した BitLocker ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しい BitLocker ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始された エンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

アプリ管理

Windows ポータル サイトを使用して Win32 および Microsoft ストア アプリをアンインストールする

エンド ユーザーは、Windows ポータル サイトを使用して Win32 アプリと Microsoft ストア アプリをアンインストールできます。アプリが使用可能として割り当てられ、エンド ユーザーによってオンデマンドでインストールされている場合。 Win32 アプリの場合、この機能を有効または無効にするオプションがあります (既定ではオフ)。 Microsoft ストア アプリの場合、この機能は常にオンであり、エンド ユーザーが使用できます。 エンド ユーザーがアプリをアンインストールできる場合、エンド ユーザーは Windows ポータル サイトでアプリの [アンインストール] を選択できます。 関連情報については、「Microsoft Intune にアプリを追加する」をご覧ください。

2023 年 7 月 24 日の週 (サービス リリース 2307)

アプリ管理

Intuneでは、新しい Google Play Android Management API がサポートされます

マネージド Google Play パブリック アプリをIntuneで管理する方法に変更が加えられた。 これらの変更は、 Google の Android Management API をサポートするため です (Google の Web サイトが開きます)。

適用対象:

• Android Enterprise

管理者とユーザー エクスペリエンスの変更の詳細については、「サポート ヒント: 新しい Google Play Android Management API をサポートするための移行Intune」を参照してください。

Android Enterprise 企業所有デバイスのアプリ レポート

Android Enterprise 企業所有のシナリオ (システム アプリを含む) のデバイスで見つかったすべてのアプリを含むレポートを表示できるようになりました。 このレポートは、[Apps MonitorDiscovered apps]\(アプリモニター>検出されたアプリ>\) を選択Microsoft Intune管理センターで使用できます。 デバイスにインストール済みとして検出されたすべてのアプリの アプリケーション名 と バージョン が表示されます。 アプリ情報がレポートに設定されるまでに最大 24 時間かかることがあります。

関連情報については、「検出されたアプリIntune」を参照してください。

管理されていない PKG 型アプリケーションをマネージド macOS デバイスに追加する [パブリック プレビュー]

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG タイプのアプリケーションをマネージド macOS デバイスにアップロードしてデプロイできるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune管理センターで PKG アプリを追加するには、[アプリ] [macOS]> [アプリの種類] で [macOS> アプリ (PKG) を追加>する] を選択します。

適用対象:

• macOS

詳細については、「アンマネージド macOS PKG アプリをMicrosoft Intuneに追加する」を参照してください。 マネージド PKG 型アプリをデプロイするには、引き続き macOS 基幹業務 (LOB) アプリをMicrosoft Intuneに追加できます。 macOS デバイス用のIntune MDM エージェントの詳細については、「macOS 用Microsoft Intune管理エージェント」を参照してください。

iOS/iPadOS Web クリップ アプリの種類で使用できる新しい設定

Intuneでは、Web アプリを iOS/iPadOS デバイス (アプリ>iOS/iPadOS>Add>iOS/iPadOS Web クリップ) にピン留めできます。 Web クリップを追加すると、使用可能な新しい設定があります。

• 全画面表示: [はい] に構成されている場合は、ブラウザーを使用せずに Web クリップを全画面表示 Web アプリとして起動します。 URL や検索バーはなく、ブックマークもありません。
• マニフェスト スコープを無視する: [はい] に構成されている場合、全画面表示の Web クリップは Safari UI を表示せずに外部 Web サイトに移動できます。 それ以外の場合は、Web クリップの URL から離れるときに Safari UI が表示されます。 [ 全画面表示 ] が [いいえ] に設定されている場合、この設定は無効です。 iOS 14 以降で使用できます。
• 事前計算済み: [はい] に構成されている場合、Apple のアプリケーション起動ツール (SpringBoard) がアイコンに "輝き" を追加できなくなります。
• ターゲット アプリケーション バンドル識別子: URL を開くアプリケーションを指定するアプリケーション バンドル識別子を入力します。 iOS 14 以降で使用できます。

適用対象:

• iOS/iPadOS

詳細については、「Microsoft Intuneに Web アプリを追加する」を参照してください。

スクリプトを追加するときに既定の設定Windows PowerShell変更する

Intuneでは、ポリシーを使用して、Windows PowerShell スクリプトを Windows デバイスに展開できます (デバイス>スクリプト>の追加>Windows 10以降)。 Windows PowerShell スクリプトを追加すると、構成する設定があります。 Intuneのセキュリティで保護された既定の動作を増やすには、次の設定の既定の動作が変更されています。

• [ログオンした資格情報を使用してこのスクリプトを実行する] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。
• [スクリプト署名チェックの適用] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。

この動作は、既存のスクリプトではなく、追加した新しいスクリプトに適用されます。

適用対象:

• Windows 10 以降 (Windows 10 Home を除く)

IntuneでWindows PowerShell スクリプトを使用する方法の詳細については、「Intuneの Windows 10/11 デバイスで PowerShell スクリプトを使用する」を参照してください。

デバイス構成

スコープ タグのサポートを追加しました

Zebra LifeGuard Over-the-Air 統合 (パブリック プレビュー) を使用してデプロイを作成するときにスコープ タグを追加できるようになりました。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成Create>>macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

Microsoft AutoUpdate (MAU):

• 現在のチャネル (月単位)

> Microsoft Defender ユーザー インターフェイスの基本設定:

• コンシューマー バージョンへのサインインを制御する

Microsoft Office > Microsoft Outlook:

• 無効 Do not send response

ユーザー エクスペリエンス > Dock:

• MCX Dock の特別なフォルダー

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

MAC アドレス エンドポイントのコンプライアンス取得サービスのサポート

コンプライアンス取得サービスに MAC アドレスのサポートが追加されました。

CR サービスの最初のリリースでは、シリアル番号や MAC アドレスなどの内部識別子を管理する必要をなくす目的で、Intune デバイス ID のみを使用するためのサポートが含まれていました。 この更新プログラムにより、証明書認証よりも MAC アドレスを使用することを希望する組織は、CR サービスの実装中も引き続き使用できます。

この更新プログラムは CR サービスに MAC アドレスのサポートを追加しますが、証明書に含まれるIntuneデバイス ID で証明書ベースの認証を使用することをお勧めします。

Intune ネットワーク Access Control (NAC) サービスの代替としての CR サービスの詳細については、「Intune ブログhttps://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696」を参照してください。

セキュリティ ベースライン内の設定分析情報Intune一般公開

Microsoft Intuneの [設定] 分析情報の一般提供についてお知らせします。

[設定分析情報] 機能を使用すると、設定に分析情報が追加され、同様の組織で正常に採用された構成に自信を持つことができます。 設定の分析情報は現在、セキュリティ ベースラインで使用できます。

[エンドポイント セキュリティ セキュリティ> ベースライン] に移動します。 ワークフローの作成と編集中に、これらの分析情報は電球を使用するすべての設定で使用できます。

デバイスのセキュリティ

Azure Virtual Desktop での Windows の改ざん防止のサポート

Intuneでは、エンドポイント セキュリティウイルス対策ポリシーを使用して、Azure Virtual Desktop マルチセッション デバイス上の Windows の改ざん防止を管理できるようになりました。 改ざん防止をサポートするには、改ざん防止を有効にするポリシーが適用される前に、デバイスをMicrosoft Defender for Endpointにオンボードする必要があります。

エンドポイント特権管理用の EpmTools PowerShell モジュール

EpmTools PowerShell モジュールは、Intune Endpoint Privilege Management (EPM) で使用できるようになりました。 EpmTools には、ファイルの詳細を取得するために使用できる Get-FileAttributes などのコマンドレットや、EPM ポリシーのデプロイのトラブルシューティングや診断に使用できるその他のコマンドレットが含まれています。

詳細については、「 EpmTools PowerShell モジュール」を参照してください。

子プロセスの昇格規則を管理するためのエンドポイント特権管理のサポート

Intune Endpoint Privilege Management (EPM) を使用すると、Windows デバイスで管理者として実行できるファイルとプロセスを管理できます。 EPM 昇格ルール では、新しい設定である 子プロセスの動作がサポートされるようになりました。

子プロセスの動作では、ルールは、マネージド プロセスによって作成されたすべての子プロセスの昇格コンテキストを管理できます。 オプションは以下のとおりです。

• マネージド プロセスによって作成されたすべての子プロセスを常に管理者特権で実行できるようにします。
• 親プロセスを管理するルールと一致する場合にのみ、子プロセスを管理者特権で実行できるようにします。
• すべての子プロセスが昇格されたコンテキストで実行されることを拒否します。その場合は、標準ユーザーとして実行されます。

Endpoint Privilege Management は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Dooray! for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

コンプライアンスとポリシーコンプライアンスの設定に関する更新されたレポートがパブリック プレビューに含まれる

デバイスコンプライアンスのパブリック プレビューとして、2 つの新しいレポートIntuneリリースしました。 これらの新しいプレビュー レポートは、Intune管理センターの [レポート] [デバイス コンプライアンス>レポート>] タブにあります。

• コンプライアンスの設定 (プレビュー)
• ポリシーコンプライアンス (プレビュー)

どちらのレポートも既存のレポートの新しいインスタンスであり、次のような古いバージョンよりも改善されています。

• Linux の設定とデバイスの詳細
• ビューの並べ替え、検索、フィルター処理、エクスポート、ページングのサポート
• 詳細については、ドリルダウン レポートを選択した列に基づいてフィルター処理します。
• デバイスは 1 回で表されます。 この動作は元のレポートとは対照的で、複数のユーザーがそのデバイスを使用した場合、デバイスが複数回カウントされる可能性があります。

最終的には、デバイス > モニターの管理センターで引き続き使用できる古いレポート バージョンは廃止されます。

2023 年 7 月 10 日の週

アプリ管理

アプリ構成ポリシー レポートへのUpdates

Intune レポート インフラストラクチャの改善に向けた継続的な取り組みの一環として、アプリ構成ポリシー レポートのユーザー インターフェイス (UI) の変更がいくつか行われています。 UI は、次の変更で更新されました。

• [アプリ構成ポリシー] ワークロードの [概要] セクションに [ユーザー状態] タイルまたは [適用できないデバイス] タイルがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションに [ユーザーのインストール状態] レポートがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションの [デバイスのインストール状態] レポートに、[状態] 列に [保留中] 状態が表示されなくなりました。

[アプリ>] [アプリの構成ポリシー] を選択Microsoft Intune管理センターでポリシー レポートを構成できます。

2023 年 7 月 3 日の週

デバイス管理

Android 13 での Zebra デバイスのIntuneサポート

Zebra は、デバイスで Android 13 のサポートをリリースする予定です。 詳細については、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の一時的な問題

  Intune チームは、Zebra デバイスで Android 13 を徹底的にテストしました。 デバイス管理者 (DA) デバイスの次の 2 つの一時的な問題を除き、すべてが正常に動作し続けます。

  Android 13 を実行し、DA 管理に登録されている Zebra デバイスの場合:

  1. アプリのインストールはサイレントモードでは行われません。 代わりに、ユーザーはアプリのインストールを許可するアクセス許可を求める通知をポータル サイト アプリから (通知を許可する場合) 取得します。 プロンプトが表示されたときにユーザーがアプリのインストールを受け入れない場合、アプリはインストールされません。 ユーザーがインストールを許可するまで、通知ドロワーに永続的な通知が表示されます。

  2. 新しい MX プロファイルは Android 13 デバイスには適用されません。 新しく登録された Android 13 デバイスは、MX プロファイルから構成を受信しません。 登録済みデバイスに以前に適用した MX プロファイルは引き続き適用されます。

  7 月の後半にリリースされる更新プログラムでは、これらの問題が解決され、動作は以前の動作に戻ります。

• デバイスを Android 13 に更新する

  すぐに、Intuneの Zebra LifeGuard Over-the-Air 統合を使用して、Android Enterprise 専用およびフル マネージド デバイスを Android 13 に更新できるようになります。 詳細については、「Zebra LifeGuard over-the-air integration with Microsoft Intune」を参照してください。

  Android 13 に移行する前に、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の Zebra デバイス用 OEMConfig

  Android 13 の Zebra デバイス用 OEMConfig には、Zebra の新しい Zebra OEMConfig Powered by MX OEMConfig アプリ を使用する必要があります (Google Play ストアが開きます)。 この新しいアプリは、Android 11 を実行している Zebra デバイスでも使用できますが、以前のバージョンでは使用できません。

  このアプリの詳細については、 Android 11 以降の新しい Zebra OEMConfig アプリ に関するブログ記事を参照してください。

  レガシ Zebra OEMConfig アプリ (Google Play ストアが開きます) は、Android 11 以前を実行している Zebra デバイスでのみ使用できます。

Android 13 のサポートIntune関する一般的な情報については、Android 13 の Day Zero サポートに関するブログ記事Microsoft Intune参照してください。

デバイスのセキュリティ

Defender for Endpoint セキュリティ設定の管理の強化と、パブリック プレビューでの Linux と macOS のサポート

Defender for Endpoint セキュリティ設定管理では、Intuneのエンドポイント セキュリティ ポリシーを使用して、Defender for Endpoint にオンボードされているが、Intuneに登録されていないデバイスの Defender セキュリティ設定を管理できます。

これで、Microsoft Defender ポータル内からパブリック プレビューにオプトインして、このシナリオのいくつかの拡張機能にアクセスできるようになりました。

• Intuneのエンドポイント セキュリティ ポリシーがに表示され、Microsoft Defender ポータル内から管理できます。 これにより、セキュリティ管理者は Defender ポータルに残り、Defender セキュリティ設定管理の Defender と Intune エンドポイント セキュリティ ポリシーを管理できます。

• セキュリティ設定管理では、Intune エンドポイント セキュリティ ウイルス対策ポリシーを Linux および macOS を実行するデバイスへの展開がサポートされています。

• Windows デバイスの場合、セキュリティ設定管理で Windows セキュリティ エクスペリエンス プロファイルがサポートされるようになりました。

• 新しいオンボード ワークフローでは、Microsoft Entraハイブリッド参加の前提条件が削除されます。 ハイブリッド参加要件Microsoft Entra、多くの Windows デバイスが Defender for Endpoint のセキュリティ設定管理に正常にオンボードすることができなかった。 この変更により、これらのデバイスは登録を完了し、セキュリティ設定管理のポリシーの処理を開始できるようになりました。

• Intuneは、Microsoft Entra IDに完全に登録できないデバイスの合成登録をMicrosoft Entra IDに作成します。 合成登録は、Microsoft Entra IDで作成されたデバイス オブジェクトであり、デバイスがセキュリティ設定管理のためにIntune ポリシーを受信して報告できるようにします。 さらに、合成登録を持つデバイスが完全に登録された場合、合成登録は完全な登録に遅延してMicrosoft Entra IDから削除されます。

Defender for Endpoint Public Preview にオプトインしない場合、以前の動作は維持されます。 この場合、Linux のウイルス対策プロファイルを表示できますが、Defender によって管理されているデバイスに対してのみサポートされるように展開することはできません。 同様に、Intuneで登録されているデバイスで現在使用できる macOS プロファイルは、Defender によって管理されているデバイスに展開できません。

適用対象:

• Linux
• macOS
• Windows

2023 年 6 月 26 日の週

デバイス構成

Android (AOSP) では、割り当てフィルターがサポートされています

Android (AOSP) では、割り当てフィルターがサポートされています。 Android (AOSP) のフィルターを作成する場合は、次のプロパティを使用できます。

• DeviceName
• 製造元
• モデル
• DeviceCategory
• Osversion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

• Android

Windows デバイスのオンデマンド修復

パブリック プレビュー段階の新しいデバイス アクションを使用すると、1 つの Windows デバイスでオンデマンドで修復を実行できます。 [修復デバイスの実行] アクションを使用すると、割り当てられたスケジュールで修復が実行されるのを待たずに問題を解決できます。 また、デバイスの [監視] セクションの [修復] で修復の状態を表示することもできます。

[修復デバイスの実行] アクションがロールアウトされ、すべての顧客に到達するまでに数週間かかる場合があります。

詳細については、「 修復」を参照してください。

デバイス管理

Intuneでの Windows ドライバー更新プログラムの管理は一般公開されています

Microsoft Intuneでの Windows ドライバー更新プログラム管理の一般提供についてお知らせします。 ドライバー更新ポリシーを使用すると、推奨され、ポリシーに割り当てられているWindows 10とWindows 11デバイスに適用されるドライバー更新プログラムの一覧を表示できます。 該当するドライバーの更新プログラムは、デバイスのドライバーバージョンを更新できる更新プログラムです。 ドライバーの更新ポリシーは、ドライバーの製造元によって発行された新しい更新プログラムを追加し、ポリシーを使用してデバイスに適用されなくなった古いドライバーを削除するために自動的に更新されます。

更新ポリシーは、次の 2 つの承認方法のいずれかに対して構成できます。

• 自動承認では、ドライバーの製造元によって発行され、ポリシーに追加された新しい推奨ドライバーはそれぞれ、該当するデバイスへの展開が自動的に承認されます。 自動承認用に設定されたポリシーは、自動的に承認された更新プログラムがデバイスにインストールされるまでの延期期間で構成できます。 この遅延により、ドライバーを確認し、必要に応じてそのデプロイを一時停止する時間が得られます。

• 手動による承認では、すべての新しいドライバー更新プログラムがポリシーに自動的に追加されますが、管理者は、各更新プログラムをデバイスに展開Windows Update前に明示的に承認する必要があります。 更新プログラムを手動で承認する場合は、Windows Updateがデバイスへの展開を開始する日付を選択します。

ドライバーの更新プログラムを管理するために、ポリシーを確認し、インストールしない更新プログラムを拒否します。 また、承認済みの更新プログラムを無期限に一時停止し、一時停止した更新プログラムを再び実行してデプロイを再開することもできます。

このリリースには、成功の概要、承認されたドライバーごとのデバイスごとの更新状態、エラーとトラブルシューティングの情報を提供するドライバー更新 レポート も含まれています。 個々のドライバーの更新プログラムを選択し、そのドライバーのバージョンを含むすべてのポリシーで詳細を表示することもできます。

Windows ドライバー更新ポリシーの使用については、「Microsoft Intuneを使用した Windows ドライバー更新プログラムのポリシーの管理」を参照してください。

適用対象:

• Windows 10
• Windows 11

2023 年 6 月 19 日の週 (サービス リリース 2306)

アプリ管理

MAM for Microsoft Edge for Business [プレビュー]

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• アプリケーション構成ポリシー (ACP) をIntuneして Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズする
• アプリケーション保護ポリシー (APP) をIntuneして組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認する
• Intune APP と統合されたクライアント脅威防御をWindows Defenderして、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
• アプリケーション保護の条件付きアクセスを使用して、保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認Microsoft Entra ID

詳細については、「プレビュー: Windows のポリシー設定をアプリ保護する」を参照してください。

パブリック プレビューに参加するには、 オプトイン フォームに入力します。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

iOS/iPadOS

ネットワーク > ネットワーク使用状況ルール:

• SIM ルール

macOS

認証 >拡張可能なシングル サインオン (SSO):

• 認証方法
• 拒否されたバンドル識別子
• 登録トークン

ディスクの完全暗号化 > FileVault:

• 出力パス
• Username
• Password
• UseKeyChain

デバイス ファームウェア構成インターフェイス (DFCI) では、Asus デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 管理センター Microsoft Intuneで、[デバイス>の構成>]、[Create Windows 10>以降] の [プロファイルの種類] の [>テンプレート>] [デバイス ファームウェア構成インターフェイス] の順に選択します。

Windows 10/11 を実行している一部の Asus デバイスは DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Saaswedo Datalert の通信経費管理は、Intuneで削除されます

Intuneでは、Saaswedo の Datalert 通信経費管理を使用して通信費を管理できます。 この機能は、Intuneから削除されます。 この削除には、次のものが含まれます。

• Telecom Expense Management コネクタ

• 通信費 RBAC カテゴリ

  • 読み取り アクセス許可
  • 更新 アクセス許可

Saaswedo の詳細については、「 Datalert サービスが使用できない (Saaswedo の Web サイトを開く)」を参照してください。

適用対象:

• Android
• iOS/iPadOS

セキュリティ ベースライン内Intune設定の分析情報

[設定分析情報] 機能により、セキュリティ ベースラインに分析情報が追加され、同様の組織で正常に採用された構成に自信を持たすことができます。

[エンドポイント セキュリティ セキュリティ> ベースライン] に移動します。 ワークフローを作成して編集すると、これらの分析情報を電球の形式で使用できます。

デバイス管理

プレビュー段階の新しいエンドポイント セキュリティ アプリケーション制御ポリシー

パブリック プレビューとして、新しいエンドポイント セキュリティ ポリシー カテゴリであるアプリケーション制御を使用できます。 エンドポイント セキュリティ アプリケーション制御ポリシーには、次のものが含まれます。

• Intune管理拡張機能をテナント全体のマネージド インストーラーとして設定するポリシー。 マネージド インストーラーとして有効にすると、(マネージド インストーラーの有効化後に) Intune経由で Windows デバイスに展開するアプリは、Intuneによってインストール済みとしてタグ付けされます。 このタグは、アプリケーション制御ポリシーを使用して、管理対象デバイスでの実行を許可またはブロックするアプリを管理するときに役立ちます。

• Defender Application Control (WDAC) の実装であるアプリケーション制御ポリシー。 エンドポイント セキュリティ アプリケーション制御ポリシーを使用すると、信頼されたアプリをマネージド デバイスで実行できるようにするポリシーを簡単に構成できます。 信頼されたアプリは、マネージド インストーラーまたはアプリ ストアからインストールされます。 これらのポリシーでは、組み込みの信頼設定に加えて、アプリケーション制御用のカスタム XML もサポートされているため、組織の要件を満たすために他のソースの他のアプリを実行できます。

この新しいポリシーの種類の使用を開始するには、「アプリケーション制御ポリシーを使用して Windows デバイスの承認済みアプリを管理する」と「マネージド インストーラーを使用してMicrosoft Intune

適用対象:

• Windows 10
• Windows 11

エンドポイント分析は、Government クラウドのテナントで使用できます

このリリースでは、Endpoint Analytics を Government クラウドのテナントで使用できます。

エンドポイント分析の詳細については、こちらをご覧ください。

リモート ヘルプでのセッション内接続モード スイッチの概要

リモート ヘルプでは、セッション内接続モード切り替え機能を利用できるようになりました。 この機能は、フル コントロールモードとビューのみのモード間を簡単に切り替え、柔軟性と利便性を提供します。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

デバイスのセキュリティ

エンドポイント特権管理レポートへの更新

Intuneの Endpoint Privilege Management (EPM) レポートで、レポートの完全なペイロードを CSV ファイルにエクスポートできるようになりました。 この変更により、Intuneの昇格レポートからすべてのイベントをエクスポートできるようになりました。

昇格されたアクセス オプションを使用してエンドポイント特権管理が実行され、Windows 11の最上位メニューで使用できるようになりました

[昇格されたアクセス権で実行する] の [エンドポイント特権管理] オプションが、Windows 11 デバイスの最上位の右クリック オプションとして使用できるようになりました。 この変更の前に、標準ユーザーは [その他のオプションを表示する] を選択して、Windows 11 デバイスで管理者特権でアクセスを実行するプロンプトを表示する必要がありました。

Endpoint Privilege Management は、Intune アドオンとして使用できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

適用対象:

• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText, Inc. (iOS)
• MyQ Roger: OCR スキャナー PDF by MyQ spol. s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Microsoft Intuneトラブルシューティング ウィンドウが一般公開されました

Intuneトラブルシューティング ウィンドウが一般公開されました。 ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイスの診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

[トラブルシューティングとサポート>のトラブルシューティング] を選択すると、管理センター Microsoft Intuneトラブルシューティング ウィンドウが表示されます。

Intuneの [トラブルシューティングとサポート] ウィンドウが更新されました

Intune管理センターの [トラブルシューティングとサポート] ウィンドウは、[ロールとスコープ] レポートを 1 つのレポートに統合することで更新されました。 このレポートには、IntuneとMicrosoft Entra IDの両方から関連するすべてのロールとスコープ データが含まれるようになり、より効率的で効率的なエクスペリエンスが提供されます。 関連情報については、「 トラブルシューティング ダッシュボードを使用して会社のユーザーを支援する」を参照してください。

モバイル アプリ 診断をダウンロードする

Intune管理センターでユーザーが送信したモバイル アプリ 診断に、Windows、iOS、Android、Android AOSP、macOS を含むポータル サイト アプリ経由で送信されるアプリ ログを含む、一般公開されました。 さらに、Microsoft Edge を介してアプリ保護ログを取得できます。 詳細については、「アプリ ログのポータル サイト」および「Microsoft Edge for iOS と Android を使用してマネージド アプリ ログにアクセスする」を参照してください。

2023 年 6 月 12 日の週

デバイス管理

Android オープンソース デバイスのMicrosoft Intuneでサポートされている HTC とピコの新しいデバイス

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneでは、次のデバイスがサポートされるようになりました。

• HTC Vive XR Elite
• ピコ ネオ 3 Pro
• ピコ 4

詳細については、以下を参照してください:

• Microsoft Intune でサポートされているオペレーティング システムとブラウザー

• Android オープン ソース プロジェクトでサポートされているデバイス

適用対象:

• Android (AOSP)

アプリ管理

ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Store

ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Storeから追加されたアプリは、デバイスやユーザーには展開されません。 アプリはレポートで "適用不可" と表示されます。 既にデプロイされているアプリは影響を受けません。 新しい Microsoft Store アプリを使用して、デバイスまたはユーザーに Microsoft Store アプリを展開します。 関連情報については、「プラン for Change: Ending support for ビジネス向け Microsoft Store and Education apps for upcoming dates for ビジネス向け Microsoft Store apps will longer deploy and ビジネス向け Microsoft Store apps will be removed」を参照してください。

詳細については、次のリソースを参照してください。

• Windows 上の Microsoft Store と Intune との統合への更新
• Intuneで Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド
• Intune for Education を使用して Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド

2023 年 6 月 5 日の週

デバイス構成

Android Enterprise 11 以降のデバイスでは、Zebra の最新の OEMConfig アプリ バージョンを使用できます

Android Enterprise デバイスでは、OEMConfig を使用して、Microsoft Intune (デバイス>構成>Createプラットフォーム OEMConfig 用>の Android Enterprise) で OEM 固有の設定を追加、作成、>カスタマイズできます。

新しい Zebra OEMConfig Powered by MX OEMConfig アプリがあり、Google の標準に合わせて調整されています。 このアプリは、Android Enterprise 11.0 以降のデバイスをサポートしています。

以前 のレガシ Zebra OEMConfig アプリは、引き続き Android 11 以前のデバイスをサポートしています。

マネージド Google Play には、Zebra OEMConfig アプリの 2 つのバージョンがあります。 Android デバイスのバージョンに適用される正しいアプリを必ず選択してください。

OEMConfig とIntuneの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise 11.0 以降

2023 年 5 月 29 日の週

デバイス管理

Intune UI では、セキュリティ管理のシナリオで Windows クライアントとは異なる Windows Server デバイスが表示Microsoft Defender for Endpoint

Microsoft Defender for Endpointのセキュリティ管理 (MDEセキュリティ構成) のシナリオをサポートするために、Intuneでは、Microsoft Entra IDの Windows デバイスを、Windows Server を実行するデバイスの場合は Windows Server、実行するデバイスの場合は Windows と区別するようになりましたWindows 10またはWindows 11。

この変更により、MDEセキュリティ構成のポリシー ターゲットを改善できます。 たとえば、Windows Server デバイスのみ、または Windows クライアント デバイス (Windows 10/11) のみで構成される動的グループを使用できます。

この変更の詳細については、Microsoft Intune、Microsoft Entra ID、Defender for Endpoint で Windows Server デバイスが新しい OS として認識されるようになったIntuneカスタマー サクセス ブログを参照してください。

テナント管理

Windows 11の組織メッセージが一般公開されるようになりました

組織のメッセージを使用して、ブランド化されたパーソナライズされた行動喚起を従業員に配信します。 15 の異なる言語で、デバイスのオンボードとライフサイクル管理を通じて従業員をサポートする 25 を超えるメッセージから選択します。 メッセージは、Microsoft Entraユーザー グループに割り当てることができます。 タスク バーのすぐ上、通知領域、または Windows 11 を実行しているデバイス上の開始アプリに表示されます。 メッセージは、Intuneで構成した頻度に基づいて、ユーザーがカスタマイズした URL にアクセスするまで表示または再表示されます。

このリリースで追加されたその他の機能は次のとおりです。

• 最初のメッセージの前にライセンス要件を確認します。
• タスク バー メッセージ用の 8 つの新しいテーマから選択します。
• メッセージにカスタム名を付けます。
• スコープ グループとスコープ タグを追加します。
• スケジュールされたメッセージの詳細を編集します。

スコープ タグは、以前は組織のメッセージで使用できませんでした。 スコープ タグのサポートが追加Intune、2023 年 6 月より前に作成されたすべてのメッセージに既定のスコープ タグが追加されます。 これらのメッセージにアクセスする管理者は、同じタグを持つロールに関連付ける必要があります。 使用可能な機能と組織のメッセージを設定する方法の詳細については、「 組織のメッセージの概要」を参照してください。

2023 年 5 月 22 日の週 (サービス リリース 2305)

アプリ管理

macOS シェル スクリプトの最大実行時間制限に更新する

お客様からのフィードバックに基づいて、macOS 用のIntune エージェント (バージョン 2305.019) を更新して、スクリプトの最大実行時間を 60 分に延長します。 以前は、macOS 用のIntune エージェントでは、エラーとしてスクリプトを報告する前に、シェル スクリプトの実行を最大 15 分間許可しました。 macOS 2206.014 以降の Intune エージェントでは、60 分のタイムアウトがサポートされています。

割り当てフィルターは、アプリ保護ポリシーとアプリ構成ポリシーをサポートします

割り当てフィルターは、MAM アプリ保護ポリシーとアプリ構成ポリシーをサポートします。 新しいフィルターを作成するときに、次のプロパティを使用して MAM ポリシー ターゲットを微調整できます。

• デバイス管理型
• デバイスの製造元
• デバイス モデル
• OS のバージョン
• アプリケーションのバージョン
• MAM クライアント バージョン

重要

デバイスの種類のターゲット設定を使用するすべての新しく編集されたアプリ保護ポリシーは、割り当てフィルターに置き換えられます。

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

Intuneで MAM レポートに更新する

MAM レポートは簡略化され、オーバーホールされ、Intuneの最新のレポート インフラストラクチャが使用されるようになりました。 この利点には、データの精度の向上と即時更新が含まれます。 これらの合理化された MAM レポートは、Microsoft Intune管理センターで [アプリ>モニター] を選択することで確認できます。 使用可能なすべての MAM データは、新しいアプリ保護状態レポートとアプリ構成状態レポートに含まれます。

グローバルな静音時間アプリ ポリシー設定

グローバルな静音時間設定を使用すると、エンド ユーザーの静かな時間をスケジュールするポリシーを作成できます。 これらの設定は、iOS/iPadOS および Android プラットフォームで Microsoft Outlook のメールと Teams の通知を自動的にミュートします。 これらのポリシーを使用して、勤務時間後に受け取ったエンド ユーザー通知を制限できます。 詳細については、「 静かな時間通知ポリシー」を参照してください。

デバイス構成

リモート ヘルプでの拡張チャットの概要

リモート ヘルプを使用した拡張チャットの導入。 新しく強化されたチャットを使用すると、すべてのメッセージの継続的なスレッドを維持できます。 このチャットでは、特殊文字やその他の言語 (中国語、アラビア語など) がサポートされます。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

管理者が監査ログ セッションを参照できるリモート ヘルプ

リモート ヘルプの場合、管理者は、既存のセッション レポートに加えて、Intuneで作成された監査ログ セッションを参照できるようになりました。 この機能を使用すると、管理者はログ アクティビティのトラブルシューティングと分析のために過去のイベントを参照できます。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10
• Windows 11

設定カタログを使用してWindows 11デバイスの個人データ暗号化をオンまたはオフにする

設定カタログには、デバイスを構成して展開できる何百もの設定が含まれています。

設定カタログでは、 個人データ暗号化 (PDE) のオン/オフを切り替えることができます。 PDE は、Windows 11 バージョン 22H2 で導入されたセキュリティ機能であり、Windows に対してより多くの暗号化機能を提供します。

PDE は BitLocker とは異なります。 PDE は、ボリュームとディスク全体ではなく、個々のファイルとコンテンツを暗号化します。 PDE は、BitLocker などの他の暗号化方法と共に使用できます。

設定カタログの詳細については、次を参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intuneの [設定カタログ] を使用して完了できる一般的なタスク

この機能は、以下に適用されます。

• Windows 11

Visual Studio ADMX の設定は、[設定カタログ] と [管理用テンプレート] にあります

Visual Studio の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Visual Studio 設定を構成するために、ADMX インポートでインポートしました。

これらのポリシーの種類の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• Visual Studio 管理テンプレート (ADMX)

適用対象:

• Windows 10
• Windows 11

グループ ポリシー分析ではスコープ タグがサポートされます

グループ ポリシー分析では、オンプレミスの GPO をインポートします。 このツールは GPO を分析し、Intuneで使用できる (および使用できない) 設定を表示します。

Intuneで GPO XML ファイルをインポートするときに、既存のスコープ タグを選択できます。 スコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に選択されます。 以前は、GPO をインポートしたときに、割り当てられたスコープ タグが GPO に自動的に適用されていました。

インポートされたポリシーを表示できるのは、そのスコープ タグ内の管理者のみです。 そのスコープ タグに含まれていない管理者は、インポートされたポリシーを表示できません。

また、スコープ タグ内の管理者は、表示するアクセス許可を持つインポートされたポリシーを移行できます。 インポートした GPO を設定カタログ ポリシーに移行するには、インポートされた GPO にスコープ タグを関連付ける必要があります。 スコープ タグが関連付けられていない場合は、設定カタログ ポリシーに移行できません。 スコープ タグが選択されていない場合、既定のスコープ タグが自動的に適用されます。

スコープ タグとグループ ポリシー分析の詳細については、次を参照してください。

• Microsoft Intuneのグループ ポリシー分析を使用してオンプレミスの GPO を分析する
• インポートした GPO を使用して設定カタログ ポリシーをCreateする
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

Zebra Lifeguard Over-the-Air サービスとの統合Intune導入 (パブリック プレビュー)

パブリック プレビューで利用できるようになりました。Microsoft Intune では、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、OS の更新プログラムとセキュリティ パッチを、Intuneに登録されている対象の Zebra デバイスに対して、空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

Android 8 以降を実行しており、Zebra を使用するアカウントが必要な Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで使用できます。

仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの新しい Google ドメイン許可リスト設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。

現在、Google アカウントを仕事用プロファイルに追加できる [アカウントの追加 と削除 ] 設定があります。 この設定では、[ すべてのアカウントの種類を許可する] を選択すると、次の構成も行うことができます。

• Google ドメイン許可リスト: ユーザーが仕事用プロファイルに特定の Google アカウント ドメインのみを追加するように制限します。 許可されているドメインの一覧をインポートするか、管理センターで形式を使用して contoso.com 追加できます。 空白のままにすると、既定では、OS によって仕事用プロファイルにすべての Google ドメインの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

プロアクティブ修復の名前を修復に変更し、新しい場所に移動する

プロアクティブな修復が修復され、デバイス>の修復から使用できるようになりました。 次のIntuneサービスの更新まで、新しい場所と既存のレポート>エンドポイント分析の場所の両方に修復が表示されます。

修復は現在、新しい デバイス エクスペリエンス プレビューでは使用できません。

適用対象:

• Windows 10
• Windows 11

米国政府機関 GCC High と DoD のIntuneで修復を利用できるようになりました

修復 (以前はプロアクティブ修復と呼ばれる) は、米国政府機関 GCC High と DoD のMicrosoft Intuneで利用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Windows デバイス上の VPN プロファイルの受信および送信ネットワーク トラフィック規則をCreateする

注:

この設定は、将来のリリース (場合によっては 2308 Intune リリース) に予定されています。

デバイスへの VPN 接続を展開するデバイス構成プロファイルを作成できます (デバイス>構成>Create>Windows 10以降のプラットフォーム>用テンプレート> プロファイルの種類のVPN)。

この VPN 接続では、 アプリとトラフィックルール の設定を使用して、ネットワーク トラフィック ルールを作成できます。

構成できる新しい [方向 ] 設定があります。 VPN 接続からの受信トラフィックと送信トラフィックを許可するには、次の設定を使用します。

• 送信 (既定値): VPN を使用してフローする外部ネットワーク/宛先へのトラフィックのみを許可します。 受信トラフィックが VPN に入り込むのがブロックされます。
• 受信: VPN を使用してフローする外部ネットワーク/ソースからのトラフィックのみを許可します。 送信トラフィックは VPN への入り込みからブロックされます。

ネットワーク トラフィック ルールの設定など、構成できる VPN 設定の詳細については、「Windows デバイスの設定」を参照して、Intuneを使用して VPN 接続を追加します。

適用対象:

• Windows 10 以降

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成Create>>macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

> Microsoft Defenderウイルス対策エンジン:

• アーカイブ ファイル内のスキャン
• ファイル ハッシュ計算を有効にする

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

macOS で使用できるデバイス アクションと新しい消去動作設定をワイプする

macOS デバイスの [消去] の代わりに [ デバイスのワイプ ] アクションを使用できるようになりました。 [ワイプ] アクションの一部として[Obliteration Behavior]\(Obliteration Behavior\) 設定を構成することもできます。

この新しいキーを使用すると、Apple シリコンまたは T2 セキュリティ チップを持つ Mac のワイプ フォールバック動作を制御できます。 この設定を見つけるには、[デバイス>][macOS>] [デバイスの選択] [デバイスの操作] 領域の [概要>ワイプ] > に移動します。

Obliteration Behavior 設定の詳細については、Apple のプラットフォーム展開サイト「 Apple デバイスの消去 - Apple サポート」を参照してください。

適用対象:

• macOS

デバイスの登録

iOS/iPadOS 15 以降のデバイスで利用できるアカウント駆動型 Apple ユーザー登録 (パブリック プレビュー)

Intuneでは、iOS/iPadOS 15 以降のデバイスに対する Apple ユーザー登録の新しく改良されたバリエーションである、アカウント駆動型のユーザー登録がサポートされます。 パブリック プレビューで使用できるようになりました。この新しいオプションでは、Just-In-Time 登録が使用されるため、登録中にポータル サイト アプリが不要になります。 デバイス ユーザーは、設定アプリで直接登録を開始できるため、オンボード エクスペリエンスが短く効率的になります。 引き続き、ポータル サイトを使用する既存のプロファイル ベースのユーザー登録方法を使用して、iOS/iPadOS デバイスをターゲットにすることができます。 iOS/iPadOS バージョン 14.8.1 以前を実行しているデバイスは、この更新プログラムの影響を受けず、既存のメソッドを引き続き使用できます。 詳細については、「 アカウント駆動型 Apple ユーザー登録の設定」を参照してください。

デバイスのセキュリティ

Microsoft 365 Office Apps の新しいセキュリティ ベースライン

M365 Office Apps のセキュリティ構成の管理に役立つ新しいセキュリティ ベースラインがリリースされました。 この新しいベースラインでは、Intune設定カタログに表示される統合設定プラットフォームを使用する、更新されたテンプレートとエクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、「エンタープライズ ベースライン設定 (Office)のMicrosoft 365 Apps」で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 既定のベースラインを変更して、organizationの要件を満たすことができます。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Microsoft Edge バージョン 112 のセキュリティ ベースライン更新プログラム

Microsoft Edge バージョン 112 のIntune セキュリティ ベースラインの新しいバージョンをリリースしました。 新しいベースラインでは、Microsoft Edge 用のこの新しいバージョンのリリースに加えて、Intune設定カタログに表示される統合設定プラットフォームを使用する更新されたテンプレート エクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、 Microsoft Edge ベースライン設定 (バージョン 112 以降) で確認できます。

新しいIntuneセキュリティ ベースライン形式は、Intune設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune管理センターのベースラインのレポート エクスペリエンスも向上します。

新しいベースライン バージョンが使用可能になったので、Microsoft Edge 用に作成するすべての新しいプロファイルで、新しいベースラインの形式とバージョンが使用されます。 新しいバージョンが既定のベースライン バージョンになりますが、以前のバージョンの Microsoft Edge 用に作成したプロファイルを引き続き使用できます。 ただし、古いバージョンの Microsoft Edge 用に新しいプロファイルを作成することはできません。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• アチーバーズ・バイ・アチーバーズ
• Board.Vision for iPad by Trusted Services PTE. 株式 会社。
• グローバルリレーコミュニケーションズ株式会社
• Incorta (BestBuy) by Incorta, Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon (iOS) によるIntune用 Klaxoon

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 5 月 8 日の週

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) では、Dynabook デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 管理センター Microsoft Intuneで、[デバイス>の構成>]、[Create Windows 10>以降] の [プロファイルの種類] の [>テンプレート>] [デバイス ファームウェア構成インターフェイス] の順に選択します。

WINDOWS 10/11 を実行している一部の Dynabook デバイスは、DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

ダウンロード サーバーを使用した Windows PC の eSIM 一括ライセンス認証が設定カタログで利用できるようになりました

設定カタログを使用して、Windows eSIM PC の大規模な構成を実行できるようになりました。 ダウンロード サーバー (SM-DP+) は、構成プロファイルを使用して構成されます。

デバイスが構成を受け取ると、eSIM プロファイルが自動的にダウンロードされます。 詳細については、「 ダウンロード サーバーの eSIM 構成」を参照してください。

適用対象:

• Windows 11
• eSIM 対応デバイス

2023 年 5 月 1 日の週

アプリ管理

macOS シェル スクリプトの最大実行時間制限

実行時間の長いシェル スクリプトを使用Intuneテナントがスクリプトの実行状態を報告しない問題を修正しました。 macOS Intune エージェントは、15 分を超える macOS シェル スクリプトを停止します。 これらのスクリプトは失敗と報告します。 新しい動作は、macOS Intune エージェント バージョン 2305.019 から適用されます。

macOS 用 DMG アプリのインストール

macOS 用 DMG アプリのインストール機能が一般公開されました。 Intuneでは、DMG アプリの必要な割り当てとアンインストールの割り当ての種類がサポートされています。 macOS 用のIntune エージェントは、DMG アプリのデプロイに使用されます。 関連情報については、「 マネージド macOS デバイスへの DMG 型アプリケーションのデプロイ」を参照してください。

ビジネス向け Microsoft Storeと教育の廃止

ビジネス向け Microsoft Store コネクタは、Microsoft Intune管理センターでは使用できなくなりました。 ビジネス向け Microsoft Storeまたは教育機関向け Microsoft Storeから追加されたアプリは、Intuneと同期されません。 以前に同期されたアプリは引き続き使用でき、デバイスとユーザーに展開されます。

新しい Microsoft Store アプリの種類に移行するときに環境をクリーンできるように、Microsoft Intune管理センターの [アプリ] ウィンドウからビジネス向け Microsoft Storeアプリを削除することもできます。

関連情報については、「プラン for Change: Ending support for ビジネス向け Microsoft Store and Education apps for upcoming dates for upcoming dates for ビジネス向け Microsoft Store apps't deploy and ビジネス向け Microsoft Store apps are removed」を参照してください。

デバイス構成

リモート ヘルプで条件付きアクセス機能がサポートされるようになりました

管理者は、リモート ヘルプのポリシーと条件を設定するときに条件付きアクセス機能を利用できるようになりました。 たとえば、多要素認証、セキュリティ更新プログラムのインストール、特定のリージョンまたは IP アドレスのリモート ヘルプへのアクセスのロックなどです。

詳細については、以下を参照してください:

• 条件付きアクセス
• リモート ヘルプ

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderの設定を更新しました

エンドポイント セキュリティウイルス対策ポリシーのMicrosoft Defenderウイルス対策プロファイルで使用可能な設定が更新されました。 このプロファイルは、Intune管理センターのエンドポイント セキュリティ>ウイルス対策>プラットフォーム:Windows 10、Windows 11、および Windows Server>Profile:Microsoft Defender ウイルス対策にあります。

• 次の設定が追加されました。

  • 従量制課金接続Updates
  • Tls 解析を無効にする
  • Http 解析を無効にする
  • Dns 解析を無効にする
  • Dns over Tcp 解析を無効にする
  • Ssh 解析を無効にする
  • プラットフォーム Updates チャネル
  • エンジン Updates チャネル
  • セキュリティ インテリジェンス Updates チャネル
  • ネットワーク保護のダウン レベルを許可する
  • Win Server でデータグラム処理を許可する
  • Dns シンクホールを有効にする

  これらの設定の詳細については、 Defender CSP に関するページを参照してください。 新しい設定は、Intune設定カタログからも使用できます。

• 次の設定は非推奨になりました。

  • 侵入防止システムを許可する

  この設定が非推奨タグと共 に 表示されるようになりました。 この非推奨の設定が以前にデバイスに適用されていた場合、設定値は NotApplicable に更新され、デバイスには影響しません。 この設定がデバイスで構成されている場合、デバイスに影響はありません。

適用対象:

• Windows 10
• Windows 11

2023 年 4 月 17 日の週 (サービス リリース 2304)

アプリ管理

iOS/iPadOS および macOS デバイスでの iCloud アプリのバックアップと復元の動作の変更

アプリ設定として、[iOS/iPadOS および macOS デバイスの iCloud アプリバックアップを禁止 する] を選択できます。 iOS/iPadOS 上のマネージド App Store アプリと基幹業務 (LOB) アプリ、および macOS デバイス上のマネージド App Store アプリ (macOS LOB アプリはこの機能をサポートしていません) を、ユーザーとデバイスライセンスの VPP/非 VPP アプリの両方でバックアップすることはできません。 この更新プログラムには、Intuneに追加され、ユーザーとデバイスを対象とする VPP の有無に関係なく送信される新規および既存の App Store/LOB アプリの両方が含まれます。

指定したマネージド アプリのバックアップを防ぐと、デバイスが登録され、バックアップから復元されたときに、これらのアプリをIntune経由で適切に展開できるようになります。 管理者がテナント内の新規または既存のアプリに対してこの新しい設定を構成した場合、管理対象アプリはデバイス用に再インストールできます。 ただし、Intuneではバックアップできません。

この新しい設定は、アプリのプロパティMicrosoft Intune変更することで管理センターに表示されます。 既存のアプリの場合は、[アプリ>] [iOS/iPadOS] を選択するか、macOS>でアプリ>の[プロパティ>] [割り当ての編集] を選択できます。 グループの割り当てが設定されていない場合は、[ グループの追加] を選択してグループを追加します。 [VPN]、[デバイスの削除時にアンインストール]、または [リムーバブルとしてインストール] のいずれかの設定を変更します。 次に、[ iCloud アプリのバックアップを禁止する] を選択します。 [ iCloud アプリのバックアップを禁止 する] 設定は、アプリケーションのアプリ データのバックアップを防ぐために使用されます。 [ いいえ] に設定すると、アプリを iCloud でバックアップできます。

詳細については、「iOS/iPadOS および macOS デバイスでのアプリケーションのバックアップと復元の動作の変更」および「Microsoft Intuneを使用してアプリをグループに割り当てる」を参照してください。

Apple VPP アプリの自動更新を禁止する

Apple VPP の自動更新動作は、アプリごとの割り当てレベルで [ 自動更新の禁止 ] 設定を使用して制御できます。 この設定は、[アプリ>] [iOS/iPadOS] または [macOS>] [ボリューム購入プログラム アプリ>の選択][プロパティ>の割り当て]> [Microsoft Entra グループ>の選択] [アプリ設定] の順に選択することで、管理センター Microsoft Intune使用できます。

適用対象:

• iOS/iPadOS
• macOS

デバイス構成

macOS 設定カタログへのUpdates

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成Create>>macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定は、次の場所にあります。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネルのオーバーライドを更新する

次の設定は非推奨になりました。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネル名 (非推奨)

プライバシー > プライバシー設定 ポリシー コントロール > サービス > のリッスン イベントまたはスクリーン キャプチャ:

• 可

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

Apple デバイス用の Microsoft Enterprise SSO プラグインが一般公開されました

Microsoft Intuneには、Microsoft Enterprise SSO プラグインがあります。 このプラグインは、認証にMicrosoft Entra IDを使用する iOS/iPadOS および macOS アプリおよび Web サイトへのシングル サインオン (SSO) を提供します。

このプラグインは現在一般公開されています (GA)。

Intuneで Apple デバイス用の Microsoft Enterprise SSO プラグインを構成する方法の詳細については、Microsoft Intuneの Microsoft Enterprise SSO プラグインに関するページを参照してください。

適用対象:

• iOS/iPadOS
• macOS

監視対象 macOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名やパスワードを必要とせずに、Intuneのアクティブ化ロックデバイスの無効化アクションを使用して、Mac デバイスのアクティベーション ロックをバイパスできるようになりました。 この新しいアクションは、[デバイス>] macOS> で、表示されているデバイス>の 1 つを選択してアクティブ化ロックを無効にします。

アクティブ化ロックの管理の詳細については、「Intuneによる iOS/iPadOS アクティベーション ロックのバイパス」または「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」の Apple の Web サイトを参照してください。

適用対象:

• macOS 10.15 以降

ServiceNow 統合が一般公開されました (GA)

一般公開されたので、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できます。 表示されるインシデントには、ソース インシデントへの直接リンクがあり、インシデントからの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

organization メッセージの配信を制御する管理者をサポートするためのその他のアクセス許可

より多くのアクセス許可を持つ管理者は、組織のメッセージから作成および展開されたコンテンツの配信と、Microsoft からユーザーへのコンテンツの配信を制御できます。

組織のメッセージに対する組織のメッセージ制御 RBAC の更新アクセス許可によって、組織のメッセージトグルを変更して Microsoft ダイレクト メッセージを許可またはブロックできるユーザーが決まります。 このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。

組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。
• organization メッセージの前提条件の詳細については、「組織のメッセージの前提条件」を参照してください。

デバイス管理

ICMP の種類に対するエンドポイント セキュリティ ファイアウォール規則のサポート

IcmpTypesAndCodes 設定を使用して、ファイアウォール規則の一部としてインターネット制御メッセージ プロトコル (ICMP) の受信規則と送信規則を構成できるようになりました。 この設定は、Windows 10、Windows 11、および Windows Server プラットフォームの Microsoft Defender ファイアウォール規則プロファイルで使用できます。

適用対象:

• Windows 11 以降

Intune ポリシーを使用して Windows LAPS を管理する (パブリック プレビュー)

パブリック プレビューで、Microsoft Intune アカウント保護ポリシーを使用して Windows ローカル管理者パスワード ソリューション (Windows LAPS) を管理できるようになりました。 開始するには、Windows LAPS Intuneサポートに関するページを参照してください。

Windows LAPS は、Microsoft Entra参加済みまたはWindows Server Active Directory参加済みデバイスのローカル管理者アカウントのパスワードを管理およびバックアップできる Windows 機能です。

LAPS を管理するために、Intuneは Windows デバイスに組み込まれている Windows LAPS 構成サービス プロバイダー (CSP) を構成します。 GPO や Microsoft レガシ LAPS ツールなど、Windows LAPS 構成の他のソースよりも優先されます。 Intuneが Windows LAPS を管理するときに使用できる機能には、次のようなものがあります。

• デバイス上のローカル管理者アカウントに適用される複雑さと長さなどのパスワード要件を定義します。
• ローカル管理者アカウントのパスワードをスケジュールに従ってローテーションするようにデバイスを構成します。 また、Microsoft Entra IDまたはオンプレミスの Active Directoryでアカウントとパスワードをバックアップします。
• 管理センターの Intune デバイス アクションを使用して、自分のスケジュールでアカウントのパスワードを手動でローテーションします。
• アカウント名やパスワードなど、Intune管理センター内からアカウントの詳細を表示します。 この情報は、アクセスできないデバイスを回復するのに役立ちます。
• Intuneレポートを使用して、LAPS ポリシーを監視し、デバイスが最後にパスワードを手動またはスケジュールでローテーションしたタイミングを監視します。

適用対象:

• Windows 10
• Windows 11

macOS ソフトウェア更新ポリシーで使用できる新しい設定

macOS ソフトウェア更新ポリシーには、デバイスに更新プログラムがインストールされるタイミングの管理に役立つ次の設定が含まれるようになりました。 これらの設定は、[ 他のすべての更新プログラムの更新プログラム の種類] が [後でインストール] に構成されている場合に使用できます。

• 最大ユーザー遅延: 他のすべての更新プログラム の更新の種類が 後でインストールするように構成されている場合、この設定では、ユーザーがマイナー OS 更新プログラムをインストールする前に延期できる最大回数を指定できます。 1 日に 1 回、ユーザーにメッセージが表示されます。 macOS 12 以降を実行しているデバイスで使用できます。

• 優先度: [他のすべての更新プログラムの更新の 種類] が [後でインストール] に構成されている場合、この設定を使用すると、マイナー OS 更新プログラムをダウンロードして準備するためのスケジュール設定の優先順位として Low または High の値を指定できます。 macOS 12.3 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

新しいパートナー ポータル ページの概要

パートナー ポータル ページから、HP または Surface デバイスでハードウェア固有の情報を管理できるようになりました。

HP リンクを使用すると、HP Connect に移動し、HP デバイスで BIOS を更新、構成、セキュリティで保護できます。 Microsoft Surface リンクを使用すると、Surface 管理ポータルに移動し、デバイスのコンプライアンス、サポート アクティビティ、保証範囲に関する分析情報を取得できます。

[パートナー ポータル] ページにアクセスするには、[デバイス] ウィンドウプレビューを有効にし、[ デバイス>パートナー ポータル] に移動する必要があります。

アプリとドライバーのWindows Update互換性レポートが一般公開されました

Windows Updateの互換性に関する次のMicrosoft Intune レポートはプレビュー段階から外れ、一般公開されています。

• Windows 機能更新プログラムデバイスの準備レポート - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連付けられている互換性リスクに関するデバイスごとの情報を提供します。

• Windows 機能更新プログラムの互換性リスク レポート - このレポートでは、選択したバージョンの Windows について、organization全体の上位互換性リスクの概要を示します。 このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、Windows 10 から 11 へのアップグレードを計画したり、最新の Windows 機能更新プログラムをインストールしたりするのに役立ちます。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理は一般公開されています

Microsoft Endpoint Privilege Management (EPM) が一般公開され、プレビューではなくなりました。

Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 これを行うには、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成します。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 デバイスがポリシーを受け取った後、EPM はユーザーに代わって昇格を仲介し、完全な管理者権限を必要とせずに承認済みアプリケーションを昇格できるようにします。 EPM には、組み込みの分析情報とレポートも含まれています。

EPM がプレビューから外れているので、別のライセンスを使用する必要があります。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suiteの一部としてライセンス EPM のどちらかを選択できます。 詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

エンドポイント特権管理が一般公開されましたが、 EPM のレポート はプレビュー段階の機能に移行され、 プレビューから削除される前にさらに機能強化が行われます。

Intune ファイアウォール規則ポリシーを使用した WDAC アプリケーション ID のタグ付けのサポート

エンドポイント セキュリティ ファイアウォール ポリシーの一部として使用できるIntuneのMicrosoft Defender ファイアウォール規則プロファイルに、ポリシー アプリ ID 設定が含まれるようになりました。 この設定は、MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP で説明されており、Windows Defender アプリケーション制御 (WDAC) アプリケーション ID タグの指定をサポートしています。

この機能を使用すると、ファイアウォール規則をアプリケーションまたはアプリケーションのグループにスコープを設定し、WDAC ポリシーに依存してこれらのアプリケーションを定義できます。 タグを使用して WDAC ポリシーにリンクしたり、WDAC ポリシーに依存したりすることで、ファイアウォール規則ポリシーは、絶対ファイル パスのファイアウォール規則オプションや、規則のセキュリティを低下させる可変ファイル パスの使用に依存する必要はありません。

この機能を使用するには、Intune Microsoft Defender ファイアウォール規則で指定できる AppId タグを含む WDAC ポリシーを設定する必要があります。

詳細については、Windows Defender アプリケーション制御に関するドキュメントの次の記事を参照してください。

• Windows のアプリケーション制御について
• WDAC アプリケーション ID (AppId) タグ付けガイド

適用対象:

• Windows 10 または 11

Intuneのエンドポイント セキュリティ攻撃 Surface の削減ポリシーの新しいアプリとブラウザーの分離プロファイル

エンドポイント セキュリティの攻撃面の削減ポリシー用の新しい アプリとブラウザーの分離 プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成したアプリとブラウザーの分離ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しいアプリとブラウザーの分離ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始された エンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

さらに、新しいプロファイルには、含まれる設定に対して次の変更が含まれます。

• 非エンタープライズ承認済みサイトからの外部コンテンツのブロック - この設定は、Microsoft Edge 従来版でのみサポートされていたため、更新されたプロファイルから削除されます。 Microsoft Edge 従来版サポートは2021年3月に終了しました。 Microsoft 365 アプリは、インターネット エクスプローラー 11 とWindows 10サンセット Microsoft Edge 従来版 - Microsoft Community Hub に別れを告げます。

• クリップボードファイルの種類 – この設定は更新されたプロファイルに追加され、ホストから環境にコピーできるコンテンツの種類Application Guard決定されます。 この新しい設定の CSP は、WindowsDefenderApplicationGuard CSP ドキュメントの Settings/ClipboardFileType で確認できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune by Firstup, Inc. (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

役割ベースのアクセス制御

組織のメッセージに対する新しい割り当て (RBAC) アクセス許可

[組織のメッセージに RBAC アクセス許可を割り当てる] によって、ターゲット Microsoft Entra グループを組織のメッセージに割り当てることができるユーザーが決まります。 RBAC のアクセス許可にアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>ロール] に移動します。

このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。 組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。
• organization メッセージの前提条件の詳細については、「組織のメッセージの前提条件」を参照してください。

テナント管理

組織のメッセージを削除する

Microsoft Intuneから組織のメッセージを削除できるようになりました。 メッセージを削除すると、Intuneから削除され、管理センターに表示されなくなります。 メッセージの状態に関係なく、いつでもメッセージを削除できます。 Intuneは、アクティブなメッセージを削除すると自動的に取り消されます。 詳細については、「 組織のメッセージを削除する」を参照してください。

組織のメッセージの監査ログを確認する

監査ログを使用して、Microsoft Intuneの組織のメッセージ イベントを追跡および監視します。 ログにアクセスするには、Microsoft Intune管理センターにサインインし、[テナント管理>監査ログ] に移動します。 詳細については、「Intune アクティビティの監査ログ」を参照してください。

2023 年 4 月 10 日の週

デバイス構成

Windows 10マルチセッション VM のユーザー構成のサポートが GA になりました

今後は次のことができるようになりました。

• [設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 10
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2023 年 4 月 3 日の週

デバイス構成

仕事用プロファイルを使用して Android Enterprise 個人所有のデバイスに Google アカウントを追加する

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。 現在、[ アカウントの追加と削除] 設定があります 。 この設定により、Google アカウントの禁止など、アカウントが仕事用プロファイルに追加されなくなります。

この設定が変更されました。 Google アカウントを追加できるようになりました。 [ アカウントの追加と削除 ] 設定オプションは次のとおりです。

• [すべてのアカウントの種類をブロックする]: ユーザーが作業プロファイルでアカウントを手動で追加または削除できないようにします。 たとえば、Gmail アプリを仕事用プロファイルに展開すると、ユーザーがこの仕事用プロファイルでアカウントを追加または削除できないようにすることができます。

• [すべてのアカウントの種類を許可する]: Google アカウントを含むすべてのアカウントを許可します。 これらの Google アカウントは、 マネージド Google Play ストアからのアプリのインストールがブロックされます。

  この設定には、次のものが必要です。

  • Google Play アプリのバージョン 80970100 以上

• Google アカウント (既定値) を除くすべてのアカウントの種類を許可する: Intuneはこの設定を変更または更新しません。 既定では、OS では、仕事用プロファイルへのアカウントの追加が許可される場合があります。

構成できる設定の詳細については、「Android Enterprise デバイス設定の一覧」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

2023 年 3 月 27 日の週

アプリ管理

macOS DMG アプリを更新する

Intuneを使用してデプロイされた macOS アプリ (DMG) の種類のアプリを更新できるようになりました。 Intuneで既に作成されている DMG アプリを編集するには、元の DMG アプリと同じバンドル識別子を使用してアプリの更新プログラムをアップロードします。 関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

事前プロビジョニング中に必要なアプリをインストールする

新しいトグルは、登録状態ページ (ESP) プロファイルで使用できます。これにより、Windows Autopilot の事前プロビジョニング技術者フェーズで必要なアプリケーションのインストールを試みるかどうかを選択できます。 エンド ユーザーのセットアップ時間を短縮するために、事前プロビジョニング中にできるだけ多くのアプリケーションをインストールすることが望ましいことを理解しています。 アプリのインストールエラーが発生した場合、ESP プロファイルで指定されたアプリを除き、ESP は続行されます。 この機能を有効にするには、新しい設定の [技術者フェーズで選択したアプリのみを失敗させる] で [はい] を選択して、登録状態ページプロファイルを編集する必要があります。 この設定は、ブロックしているアプリが選択されている場合にのみ表示されます。 ESP の詳細については、「 登録状態の設定」ページを参照してください。

2023 年 3 月 20 日の週 (サービス リリース 2303)

アプリ管理

Win32 アプリの最小 OS バージョン

Intuneでは、Win32 アプリをインストールするときに、Windows 10と 11 の最小オペレーティング システム バージョンがサポートされます。 管理センター Microsoft Intuneで、[アプリ] [Windows>アプリ>の追加>(Win32)] を選択します。 [最小オペレーティング システム] の横にある [要件] タブで、使用可能なオペレーティング システムのいずれかを選択します。 その他の OS オプションは次のとおりです。

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

VPP アプリを管理するためにマネージド アプリのアクセス許可が不要になりました

モバイル アプリのアクセス許可のみが割り当てられている VPP アプリを表示および管理できます。 以前は、VPP アプリを表示および管理するには、 マネージド アプリのアクセス許可が必要でした。 この変更は、引き続きマネージド アプリのアクセス許可を割り当てる必要がある Education テナントのIntuneには適用されません。 Intuneのアクセス許可の詳細については、「カスタム ロールのアクセス許可」を参照してください。

デバイス構成

macOS 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成Create>>macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

> Microsoft Defender改ざん防止:

• 実施レベル

Microsoft Office > Microsoft OneDrive:

• 自動アップロード帯域幅の割合
• フォルダー バックアップ機能 (既知のフォルダー移動とも呼ばれます) を自動的かつサイレントで有効にする
• アプリがオンライン限定のファイルをダウンロードしないようにします
• 外部同期をブロックする
• 自動サインインを無効にする
• ダウンロード トーストを無効にする
• 個人用アカウントを無効にする
• チュートリアルを無効にする
• フォルダーがリダイレクトされたら、ユーザーに通知を表示する
• ファイル オンデマンドを有効にする
• Office アプリの同時編集を有効にする
• ユーザーにフォルダー バックアップ機能 (既知のフォルダー移動) の使用を強制する
• ドック アイコンを非表示にする
• 名前付きファイルを無視する
• フォルダー バックアップに ~/Desktop を含める (既知のフォルダー移動とも呼ばれます)
• フォルダー バックアップに ~/ドキュメントを含める (既知のフォルダー移動とも呼ばれます)
• ログイン時に開く
• ユーザーがフォルダー バックアップ機能 (既知のフォルダー移動) を使用できないようにする
• フォルダー バックアップ機能 (既知のフォルダー移動) を有効にするようにユーザーに求める
• 最大ダウンロード スループットを設定する
• 最大アップロード スループットを設定する
• SharePoint の優先順位付け
• SharePoint Server フロント ドア URL
• SharePoint Server テナント名

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

Linux デバイスを構成するためのカスタム Bash スクリプトを追加する

Intuneでは、既存の Bash スクリプトを追加して Linux デバイス (デバイス>Linux>構成スクリプト) を構成できます。

このスクリプト ポリシーを作成するときに、スクリプトが実行されるコンテキスト (ユーザーまたはルート)、スクリプトの実行頻度、および実行を再試行する回数を設定できます。

この機能の詳細については、「カスタム Bash スクリプトを使用してMicrosoft Intuneで Linux デバイスを構成する」を参照してください。

適用対象:

• Linux Ubuntu Desktops

デバイスの登録

iOS/iPadOS 自動デバイス登録の待機最終構成設定のサポート (パブリック プレビュー)

パブリック プレビューでは、Intuneは、対象となる新規および既存の iOS/iPadOS 自動デバイス登録プロファイルで、Await final configuration という新しい設定をサポートしています。 この設定により、セットアップ アシスタントですぐにロックされたエクスペリエンスが有効になります。 これにより、ほとんどのデバイス構成ポリシーがインストールされるまで、デバイス ユーザーが制限付きコンテンツにアクセスしたり、デバイスの設定を変更したりIntuneできなくなります。 設定は、既存の自動デバイス登録プロファイルまたは新しいプロファイル (デバイス>iOS/iPadOS iOS/iPadOS>登録>プログラム トークン>Create プロファイル) で構成できます。 詳細については、「Apple 登録プロファイルのCreate」を参照してください。

新しい設定により、Intune管理者はデバイスからカテゴリへのマッピングを制御できます

Intune ポータル サイトでのデバイス カテゴリ プロンプトの表示を制御します。 エンド ユーザーからプロンプトを非表示にし、デバイスからカテゴリへのマッピングを管理者にIntuneしたままにできるようになりました。 新しい設定は、管理センターの [ テナント管理>カスタマイズ>デバイス カテゴリ] で使用できます。 詳細については、「 デバイス カテゴリ」を参照してください。

フル マネージド デバイスの複数の登録プロファイルとトークンのサポート

Android Enterprise フル マネージド デバイスの複数の登録プロファイルとトークンをCreateして管理します。 この新機能により、 EnrollmentProfileName 動的デバイス プロパティを使用して、フル マネージド デバイスに登録プロファイルを自動的に割り当てることができます。 テナントに付属する登録トークンは、既定のプロファイルに残ります。 詳細については、「Android Enterprise フル マネージド デバイスのIntune登録を設定する」を参照してください。

iPad の新しいMicrosoft Entra現場担当者エクスペリエンス (パブリック プレビュー)

この機能は、4 月中旬にテナントへのロールアウトを開始します。

Intuneでは、Apple の自動デバイス登録を使用した iPhone と iPad の現場担当者エクスペリエンスがサポートされるようになりました。 ゼロタッチで共有モードで有効になっているデバイスMicrosoft Entra ID登録できるようになりました。 共有デバイス モードの自動デバイス登録を構成する方法の詳細については、「共有デバイス モードでデバイスの登録Microsoft Entra設定する」を参照してください。

適用対象:

• iOS/iPadOS

デバイス管理

ログ構成に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

ファイアウォール ログ オプションを構成する エンドポイント セキュリティ ファイアウォール ポリシー で設定を構成できるようになりました。 これらの設定は、Windows 10 以降のプラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートにあり、そのテンプレートのドメイン、プライベート、およびパブリック プロファイルで使用できます。

ファイアウォール構成サービス プロバイダー (CSP) で見つかった新しい設定を次に示します。

• ログの成功Connectionsを有効にする
• ログ ファイル のパス
• ログドロップされたパケットを有効にする
• ログ無視ルールを有効にする

適用対象:

• Windows 11

モバイル ブロードバンド (MBB) のエンドポイント セキュリティ ファイアウォール規則のサポート

エンドポイント セキュリティ ファイアウォール ポリシーの [インターフェイスの種類] 設定に、Mobile ブロードバンドのオプションが含まれるようになりました。 インターフェイスの種類は、Windows をサポートするすべてのプラットフォームのMicrosoft Defender ファイアウォール規則プロファイルで使用できます。 この設定とオプションの使用については、「 ファイアウォール構成サービス プロバイダー (CSP)」を参照してください。

適用対象:

• Windows 10
• Windows 11

ネットワーク リスト マネージャー設定に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

エンドポイント セキュリティ ファイアウォール ポリシーにネットワーク リスト マネージャー設定のペアを追加しました。 Microsoft Entra デバイスがオンプレミスのドメイン サブネット上にあるか、そうでないかを判断するために、ネットワーク リスト マネージャーの設定を使用できます。 この情報は、ファイアウォール規則が正しく適用されるのに役立ちます。

次の設定は、ネットワーク リスト マネージャーという名前の新しいカテゴリにあります。これは、Windows 10、Windows 11、および Windows Server プラットフォームのMicrosoft Defender ファイアウォール プロファイル テンプレートで使用できます。

• 許可される Tls 認証エンドポイント
• 構成された Tls 認証ネットワーク名

ネットワーク分類設定の詳細については、「 NetworkListManager CSP」を参照してください。

適用対象:

• Windows 10
• Windows 11

管理センターの [デバイス] 領域の機能強化 (パブリック プレビュー)

管理センターの [デバイス] 領域に一貫性のある UI が追加され、より機能の高いコントロールとナビゲーション構造が改善され、必要な情報をより迅速に見つけることができます。 パブリック プレビューにオプトインして新しいエクスペリエンスを試すには、[ デバイス] に移動し、ページの上部にあるトグルを反転します。 改善点は次のとおり：

• シナリオに焦点を当てた新しいナビゲーション構造。
• より一貫性のあるナビゲーション モデルを作成するためのプラットフォーム ピボットの新しい場所。
• 旅を減らすことで、目的地へのアクセスを迅速に行うことができます。
• 監視とレポートは管理ワークフロー内にあり、ワークフローから離れることなく主要なメトリックとレポートに簡単にアクセスできます。
• リスト ビュー間で一貫した方法で、データを検索、並べ替え、フィルター処理できます。

更新された UI の詳細については、「Microsoft Intuneで新しいデバイス エクスペリエンスを試す」を参照してください。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理 (パブリック プレビュー)

パブリック プレビューとして、Microsoft Intune エンドポイント特権管理を使用できるようになりました。 Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 エンドポイント特権管理は、エンドポイント セキュリティ> エンドポイント特権管理のIntune管理センターで構成できます。

パブリック プレビューでは、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成できます。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 ポリシーを受け取ると、Endpoint Privilege Management はユーザーに代わって昇格を仲介し、完全な管理者特権を必要とせずに承認されたアプリケーションを昇格できるようにします。 プレビューには、Endpoint Privilege Management の組み込みの分析情報とレポートも含まれています。

パブリック プレビューをアクティブ化し、エンドポイント特権管理ポリシーを使用する方法については、「Microsoft Intuneでエンドポイント特権管理を使用する」を参照してください。 Endpoint Privilege Management は、Intune Suite オファリングの一部であり、パブリック プレビューのままで無料で試すことができます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• 地震 |Intune・バイ・地震ソフトウェア株式会社
• Microsoft によるMicrosoft Viva Engage (正式には Microsoft Yammer)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Endpoint Privilege Management の診断データ収集

エンドポイント特権管理のリリースをサポートするために、Windows デバイスから診断収集を更新し、エンドポイント特権管理が有効になっているデバイスから収集される次のデータを含めます。

• レジストリ キー:

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• コマンド:

  • %windir%\system32\pnputil.exe /enum-drivers

• ログ ファイル:

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

保留中および失敗した組織のメッセージの状態を表示する

管理センターで保留中のメッセージと失敗したメッセージを簡単に追跡できるように、組織のメッセージ レポートの詳細にさらに 2 つの状態を追加しました。

• 保留中: メッセージはまだスケジュールされておらず、現在進行中です。
• 失敗: サービス エラーが原因でメッセージのスケジュールが失敗しました。

レポートの詳細については、「 組織のメッセージのレポートの詳細を表示する」を参照してください。

テナント接続デバイスに関連するその他のレポート情報

エンドポイント セキュリティ ワークロードの下にある既存のウイルス対策レポートで、テナント接続デバイスの情報を表示できるようになりました。 新しい列では、Intuneによって管理されるデバイスと、Configuration Managerによって管理されるデバイスが区別されます。 このレポート情報は、[エンドポイント セキュリティ>ウイルス対策] を選択Microsoft Intune管理センターで使用できます。

2023 年 3 月 13 日の週

デバイス管理

Meta Quest 2 と Quest Pro は、Android オープン ソース デバイスのMicrosoft Intuneで Open Beta (米国のみ) に移行されました

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneは、Meta Quest 2 と Quest Pro を米国市場向けのオープン ベータ版に迎えています。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

アプリ管理

Intune App SDK for Android 用の信頼されたルート証明書管理

Android アプリケーションで、内部 Web サイトやアプリケーションへのセキュリティで保護されたアクセスを提供するために、オンプレミスまたはプライベート証明機関によって発行された SSL/TLS 証明書が必要な場合、Intune App SDK for Android では証明書の信頼管理がサポートされるようになりました。 詳細と例については、「 信頼されたルート証明書の管理」を参照してください。

UWP アプリのシステム コンテキストのサポート

ユーザー コンテキストに加えて、システム コンテキストで Microsoft Store アプリ (新規) からユニバーサル Windows プラットフォーム (UWP) アプリを展開できます。 プロビジョニングされた .appx アプリがシステム コンテキストでデプロイされている場合、ログインするユーザーごとにアプリが自動インストールされます。 個々のエンド ユーザーがユーザー コンテキスト アプリをアンインストールした場合、アプリは引き続きプロビジョニングされているため、インストール済みとして表示されます。 さらに、デバイス上のユーザーにアプリをまだインストールしないでください。 一般的な推奨事項は、アプリのデプロイ時にインストール コンテキストを混在しないようにすることです。 Microsoft Store アプリ (新規) の Win32 アプリは、既にシステム コンテキストをサポートしています。

2023 年 3 月 6 日の週

アプリ管理

Win32 アプリをデバイス グループに展開する

使用可能な意図を持つ Win32 アプリをデバイス グループに展開できるようになりました。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス管理

Microsoft Intune管理センターの新しい URL

Microsoft Intune管理センターには、 という新しい URL がありますhttps://intune.microsoft.com。 以前に使用した URL は引き続き機能しますが、 https://endpoint.microsoft.com2023 年後半に新しい URL にリダイレクトされます。 Intuneアクセスと自動スクリプトに関する問題を回避するには、次のアクションを実行することをお勧めします。

• をポイントするようにログインまたは自動化を更新します https://intune.microsoft.com。
• 必要に応じてファイアウォールを更新して、新しい URL へのアクセスを許可します。
• お気に入りとブックマークに新しい URL を追加します。
• ヘルプデスクに通知し、IT 管理者のドキュメントを更新します。

テナント管理

CMPivot クエリを Favorites フォルダーに追加する

よく使用するクエリを CMPivot の [お気に入り ] フォルダーに追加できます。 CMPivot を使用すると、テナントアタッチを使用してConfiguration Managerによって管理されるデバイスの状態をすばやく評価し、アクションを実行できます。 この機能は、Configuration Manager コンソールに既に存在する機能と似ています。 この追加は、最も使用されているすべてのクエリを 1 か所に保持するのに役立ちます。 クエリにタグを追加して、クエリの検索と検索に役立てることもできます。 Configuration Manager コンソールに保存されたクエリは、お気に入りフォルダーに自動的に追加されません。 新しいクエリを作成し、このフォルダーに追加する必要があります。 CMPivot の詳細については、「 テナントアタッチ: CMPivot の使用状況の概要」を参照してください。

デバイスの登録

登録状態ページで新しい Microsoft Store アプリがサポートされるようになりました

登録状態ページ (ESP) では、Windows Autopilot 中に新しい Microsoft ストア アプリケーションがサポートされるようになりました。 この更新プログラムにより、新しい Microsoft Store エクスペリエンスのサポートが向上し、Intune 2303 以降のすべてのテナントにロールアウトする必要があります。 関連情報については、「 登録の状態ページを設定する」を参照してください。

2023 年 2 月 27 日の週

デバイス構成

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスでのデバイスの検索のサポート

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスで "デバイスの検索" を使用できるようになりました。 この機能を使用すると、管理者は必要に応じて紛失または盗難にあった企業デバイスを見つけることができます。

管理センター Microsoft Intune、デバイス構成プロファイル (デバイス>構成>Create>Android Enterprise for platform > のプロファイルの種類のデバイス制限) を使用して機能をオンにする必要があります。

フル マネージドおよび企業所有の仕事用プロファイル デバイスの [デバイスの検索] トグルで [許可] を選択し、該当するグループを選択します。 [デバイス] を選択し、[すべてのデバイス] を選択すると、デバイスを見つけることができます。 管理するデバイスの一覧から、サポートされているデバイスを選択し、[デバイスの リモートの検索 ] アクションを選択します。

Intuneで紛失または盗難にあったデバイスを見つける方法については、次のページを参照してください。

• 紛失したまたは盗まれた デバイスを Intune で検索する

適用対象:

• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Intune アドオン

Microsoft Intune Suiteは、ミッション クリティカルな高度なエンドポイント管理機能とセキュリティ機能をMicrosoft Intuneに提供します。

Intuneするアドオンは、Microsoft Intune管理センターの [テナント管理>Intuneアドオン] にあります。

詳細については、「Intune Suite アドオン機能を使用する」を参照してください。

Intuneトラブルシューティング ワークスペースで ServiceNow インシデントを表示する (プレビュー)

パブリック プレビューでは、[トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧Intune表示できます。 この新機能は、[ トラブルシューティングとサポート> ] でユーザー >の ServiceNow インシデントを選択して使用できます。 表示されるインシデントの一覧には、ソース インシデントへの直接リンクが表示され、インシデントの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

デバイスのセキュリティ

MAM 用 Microsoft Tunnelが一般公開されました

プレビューが提供され、一般公開されなくなっているので、 Microsoft Tunnel for Mobile Application Management をテナントに追加できます。 MAM 用トンネルでは、登録されていない Android デバイスと iOS デバイスからの接続がサポートされています。 このソリューションは、モバイル デバイスがセキュリティ ポリシーに従いながら企業リソースにアクセスできるようにする軽量 VPN ソリューションをテナントに提供します。

さらに、iOS 用 MAM Tunnel で Microsoft Edge がサポートされるようになりました。

以前は、Android および iOS 用の MAM 用 Tunnel はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「Intuneアドオン」を参照してください。

適用対象:

• Android
• iOS

テナント管理

組織のメッセージでカスタム宛先 URL がサポートされるようになりました

タスク バー、通知領域、および作業開始アプリで、組織のメッセージに任意のカスタム宛先 URL を追加できるようになりました。 この機能は、Windows 11に適用されます。 スケジュールされた状態またはアクティブな状態Microsoft Entra登録済みドメインで作成されたメッセージは引き続きサポートされます。 詳細については、「組織のメッセージをCreateする」を参照してください。

2023 年 2 月 20 日の週 (サービス リリース 2302)

アプリ管理

LOB およびストア アプリの最小 OS 要件として利用可能な最新の iOS/iPadOS バージョン

基幹業務およびストア アプリの展開の最小オペレーティング システムとして iOS/iPadOS 16.0 を指定できます。 この設定オプションは、iOS/iPadOS> iOS ストア アプリ>または基幹業務アプリを選択Microsoft Intune管理センターで使用できます。 アプリの管理の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Egnyte によるIntuneのための Egnyte

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

エンドポイント マネージャー管理センターの名前が管理センター Intuneに変更されました

Microsoft エンドポイント マネージャー管理センターは、Microsoft Intune管理センターと呼ばれるようになりました。

フィルターの新しい [関連付けられた割り当て] タブ

アプリまたはポリシーを割り当てると、デバイスの製造元、モデル、所有権など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。 フィルターを作成して割り当てに関連付けることができます。

フィルターを作成すると、新しい [ 関連付けられた割り当て] タブが表示されます。このタブには、すべてのポリシーの割り当て、フィルター割り当てを受け取るグループ、フィルターで Exclude または Include が使用されている場合が 表示されます。

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス>フィルター]> [既存のフィルター>の選択] [関連付けられた割り当て] タブに移動します。

フィルターの詳細については、次のページを参照してください。

• Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

iOS/iPadOS モデル情報に含まれるサイズと生成

「ハードウェア デバイスの詳細」の Model 属性の一部として、登録済みの iOS/iPadOS デバイスのサイズと世代を表示できます。

[ デバイス > ] [すべてのデバイス> ] の順に選択し、表示されているデバイスのいずれかを選択し、[ ハードウェア ] を選択して詳細を開きます。 たとえば、iPad Pro 3 の代わりに、デバイス モデルの iPad Pro 11 インチ (第 3 世代) が表示されます。 詳細については、「Intuneでデバイスの詳細を確認する」を参照してください。

適用対象:

• iOS/iPadOS

監視対象の iOS/iPadOS デバイスのアクティブ化ロック デバイス アクションを無効にする

現在のユーザー名またはパスワードを必要とせずに、Intuneの [アクティブ化ロック デバイスの無効化] アクションを使用して、iOS/iPadOS デバイスのアクティブ化ロックをバイパスできます。

この新しいアクションは、[デバイス>] [iOS/iPadOS>] で、一覧表示されているデバイス>のいずれかを選択して [アクティブ化ロックを無効にする] で使用できます。

アクティブ化ロックの管理の詳細については、「iOS/iPadOS アクティベーション ロックをIntuneでバイパスする」または Apple の Web サイトの「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」を参照してください。

適用対象:

• iOS/iPadOS

[設定カタログ] で [一時的なエンタープライズ機能制御を許可する] を使用できます

オンプレミスのグループ ポリシーには、 サービスによって導入された機能を有効にする機能が既定でオフ になっています。

Intuneでは、この設定は [一時的なエンタープライズ機能制御を許可する] と呼ばれ、[設定カタログ] で使用できます。 このサービスにより、既定でオフになっている機能が追加されます。 [許可] に設定すると、これらの機能が有効になり、オンになります。

この機能の詳細については、次のページを参照してください。

• AllowTemporaryEnterpriseFeatureControl ポリシー CSP
• ブログ: 継続的イノベーションのための商業管理

このポリシー設定で有効になっている Windows 機能は、2023 年後半にリリースする必要があります。 Intuneは、認識と準備のために、このポリシー設定をリリースしています。これは、今後のWindows 11リリースで設定を使用する必要がある前です。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 11

デバイス管理

プリンター保護のデバイス制御のサポート (プレビュー)

パブリック プレビューでは、Attack Surface Reduction ポリシーのデバイス制御プロファイルで 、プリンター保護の再利用可能な設定グループがサポートされるようになりました。

Microsoft Defender for Endpoint デバイス制御プリンター保護を使用すると、Intune内の除外の有無にかかわらず、プリンターを監査、許可、または防止できます。 これにより、企業以外のネットワーク プリンターまたは承認されていない USB プリンターを使用して、ユーザーの印刷をブロックできます。 この機能により、自宅やリモートの作業シナリオで作業するためのセキュリティとデータ保護の別のレイヤーが追加されます。

適用対象:

• Windows 10
• Windows 11

Microsoft Defender for Endpointのセキュリティ管理を使用して管理されている古いデバイスを削除するサポート

Microsoft Intune管理センター内から、Microsoft Defender for Endpoint ソリューションのセキュリティ管理を使用して管理されているデバイスを削除できるようになりました。 デバイスの [概要] の詳細を表示すると、削除オプションが他のデバイス管理オプションと共に表示されます。 このソリューションによって管理されるデバイスを見つけるには、管理センターで [デバイス>] [すべてのデバイス] の順に移動し、[管理対象] 列に MDEJoined または MDEManaged を表示するデバイスを選択します。

Apple 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

ログイン > サービス管理 - マネージド ログイン 項目:

• Team 識別子

Microsoft Office > Microsoft Office:

• Office ライセンス認証のEmailアドレス

適用対象:

• macOS

ネットワーク > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーを使用してMicrosoft Defender更新動作を管理する (プレビュー)

エンドポイント セキュリティ ウイルス対策ポリシーのパブリック プレビューの一環として、Windows 10以降のプラットフォームの新しいプロファイル Defender Update コントロールを使用して、Microsoft Defenderの更新設定を管理できます。 新しいプロファイルには、ロールアウト リリース チャネルの設定が含まれています。 ロールアウト チャネルでは、デバイスとユーザーは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月単位のエンジン更新プログラムに関連する Defender Updatesを受け取ります。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジン Updates チャネル
• プラットフォーム Updates チャネル
• セキュリティ インテリジェンス Updates チャネル

これらの設定は、Windows 10以降のプロファイルの設定カタログからも使用できます。

適用対象:

• Windows 10
• Windows 11

2023 年 2 月 6 日の週

テナント管理

推奨事項と分析情報を適用して、Configuration Managerサイトの正常性とデバイス管理エクスペリエンスを強化する

Microsoft Intune管理センターを使用して、Configuration Manager サイトの推奨事項と分析情報を表示できるようになりました。 これらの推奨事項は、サイトの正常性とインフラストラクチャを改善し、デバイス管理エクスペリエンスを強化するのに役立ちます。

推奨事項は次のとおりです。

• インフラストラクチャを簡素化する方法
• デバイス管理を強化する
• デバイスの分析情報を提供する
• サイトの正常性を向上させる

推奨事項を表示するには、Microsoft Intune管理センターを開き、[テナント管理>コネクタとトークン>Microsoft Endpoint Configuration Manager] に移動し、サイトを選択してそのサイトの推奨事項を表示します。 選択すると、[ 推奨事項 ] タブに各分析情報と [詳細情報 ] リンクが表示されます。 このリンクは、その推奨事項を適用する方法の詳細を開きます。

詳細については、「テナントアタッチMicrosoft Intune有効にする - Configuration Manager」を参照してください。

2023 年 1 月 30 日の週

デバイス管理

Android オープンソース デバイスのMicrosoft Intuneでサポートされている HTC Vive Focus 3

Android オープンソース プロジェクト デバイス (AOSP) 用のMicrosoft Intuneで HTC Vive Focus 3 がサポートされるようになりました。

詳細については、Microsoft Intuneでサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

リモート ヘルプでのレーザー ポインターのサポートの概要

リモート ヘルプでは、Windows で支援を提供するときにレーザー ポインターを使用できるようになりました。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

2023 年 1 月 23 日の週 (サービス リリース 2301)

アプリ管理

Windows ポータル サイトでConfiguration Manager アプリを表示するかどうかを構成する

Intuneでは、Windows ポータル サイトにConfiguration Managerアプリを表示または非表示にするかどうかを選択できます。 このオプションは、[テナント>管理のカスタマイズ] を選択Microsoft Intune管理センターで使用できます。 [設定] の横にある [編集] を選択します。 [Configuration Manager アプリケーションを表示または非表示にする] オプションは、ウィンドウの [アプリ ソース] セクションにあります。 ポータル サイト アプリの構成に関する関連情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

Web ページをアプリにピン留めマネージド ホーム スクリーンブロックする

マネージド ホーム スクリーンを使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、ブラウザー Web ページのマネージド ホーム スクリーンへのピン留めをブロックするようにマネージド ホーム スクリーン アプリを構成できるようになりました。 新しい key 値は です block_pinning_browser_web_pages_to_MHS。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

デバイス管理

Android 用アプリで表示される猶予期間の状態Microsoft Intune

Android 用のMicrosoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスに対して、猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 指定された日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。 詳細については、次のドキュメントを参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• コンプライアンスの状態を確認する

macOS のソフトウェア更新プログラム ポリシーが一般公開されました

macOS デバイスのソフトウェア更新ポリシーが一般公開されました。 この一般提供は、macOS 12 (モントレー) 以降を実行している監視対象デバイスに適用されます。 この機能は改善されています。

詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

Windows Autopilot デバイス 診断

Windows Autopilot 診断は、個々のデバイスの Autopilot 展開モニターまたはデバイス診断モニターから、管理センター Microsoft Intuneダウンロードできます。

デバイスの登録

登録通知の一般公開

登録通知は一般公開され、Windows、Apple、Android デバイスでサポートされています。 この機能は、ユーザー主導の登録方法でのみサポートされます。 詳細については、「 登録通知を設定する」を参照してください。

セットアップ アシスタントで [住所の用語] ウィンドウをスキップまたは表示する

Microsoft Intuneを構成して、Apple 自動デバイス登録中に [アドレスの条件] という新しいセットアップ アシスタント ウィンドウをスキップまたは表示します。 アドレス条項を使用すると、iOS/iPadOS および macOS デバイスのユーザーは、システムがそれらに対処する方法 (女性、中立、男性的) を選択して、デバイスをカスタマイズできます。 このウィンドウは既定で登録中に表示され、選択した言語で使用できます。 iOS/iPadOS 16 以降、および macOS 13 以降を実行しているデバイスでは非表示にすることができます。 Intuneでサポートされているセットアップ アシスタント画面の詳細については、次を参照してください。

• Mac 用のセットアップ アシスタント画面
• iOS/iPadOS 用のアシスタント画面をセットアップする

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (プレビュー)

パブリック プレビューとして、モバイル アプリケーション管理 (MAM) を使用して、iOS/iPadOS 用の Microsoft Tunnel VPN ゲートウェイを使用できます。 Intuneに登録されていない iOS デバイスのこのプレビューでは、登録されていないデバイスでサポートされているアプリは、Microsoft Tunnel を使用して、企業のデータとリソースを操作するときにorganizationに接続できます。 この機能には、次の VPN ゲートウェイのサポートが含まれます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

詳細については、次を参照してください:

• Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理者ガイド (パブリック プレビュー)
• iOS SDK 開発者ガイドのMAM 用 Microsoft Tunnel

適用対象:

• iOS/iPadOS

Microsoft Defender for Endpointのセキュリティ設定管理に対する攻撃面の縮小ポリシーのサポート

MDE セキュリティ構成シナリオで管理されるデバイスは、攻撃面の縮小ポリシーをサポートします。 Microsoft Defender for Endpointを使用しているが、Intuneに登録されていないデバイスでこのポリシーを使用するには:

1. [エンドポイント セキュリティ] ノードで、新しい 攻撃面の削減 ポリシーを作成します。
2. Windows 10、Windows 11、および Windows Server をプラットフォームとして選択します。
3. プロファイル の [攻撃面の縮小ルール ] を選択 します。

適用対象:

• Windows 10
• Windows 11

SentinelOne – 新しいモバイル脅威防御パートナー

SentinelOne を、Intuneと統合された Mobile Threat Defense (MTD) パートナーとして使用できるようになりました。 Intuneで SentinelOne コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。 SentinelOne コネクタは、リスク レベルをアプリ保護ポリシーに送信することもできます。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) は、富士通デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>の構成>Create>Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス) を管理できます。

DFCI では、Windows 10/11 を実行している一部の富士通 デバイスが有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Android (AOSP) を実行しているデバイスでの一括デバイス アクションのサポート

Android (AOSP) を実行しているデバイスの "一括デバイス アクション" を完了できるようになりました。 Android (AOSP) を実行しているデバイスでサポートされる一括デバイス アクションは、削除、ワイプ、再起動です。

適用対象:

• Android (AOSP)

設定カタログの iOS/iPadOS および macOS 設定の説明を更新しました

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 iOS/iPadOS と macOS の設定では、設定カテゴリごとに説明が更新され、より詳細な情報が含まれます。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intuneの [設定カタログ] を使用して実行できる一般的なタスク

適用対象:

• iOS/iPadOS
• macOS

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

アカウント > サブスクライブされた予定表:

• アカウントの説明
• アカウント ホスト名
• アカウントパスワード
• アカウント SSL を使用する
• アカウントユーザー名

適用対象:

• iOS/iPadOS

ネットワーク > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

File Vault:

• ユーザーが不足している情報を入力する

適用対象:

• macOS

制限事項:

• レーティングリージョン

適用対象:

• iOS/iPadOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

デバイスのMicrosoft Entra参加の種類でアプリとポリシーの割り当てをフィルター処理する (deviceTrustType)

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

新しいデバイス フィルター プロパティdeviceTrustTypeは、Windows 10以降のデバイスで使用できます。 このプロパティを使用すると、Microsoft Entra結合の種類に応じてアプリとポリシーの割り当てをフィルター処理できます。 値には、Microsoft Entra参加済み、ハイブリッド参加済みMicrosoft Entra、登録Microsoft Entraが含まれます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Windows 10 以降

監視とトラブルシューティング

Microsoft Intune管理センターでモバイル アプリの診断をダウンロードする (パブリック プレビュー)

パブリック プレビューでは、iOS、macOS、Microsoft Edge for iOS のサポートが後日提供される、Android、Android (AOSP)、または Windows 用ポータル サイトアプリ を介して送信されたアプリ ログなど、管理センターのユーザーが送信したモバイル アプリ 診断にアクセスします。 ポータル サイト用のモバイル アプリ 診断へのアクセスの詳細については、「ポータル サイトの構成」を参照してください。

診断ファイルを使用した WinGet のトラブルシューティング

WinGet は、Windows 10デバイスとWindows 11 デバイスでアプリケーションを検出、インストール、アップグレード、削除、構成できるコマンド ライン ツールです。 Intuneで Win32 アプリ管理を使用するときに、次のファイルの場所を使用して WinGet のトラブルシューティングに役立つようになりました。

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intuneトラブルシューティング ウィンドウの更新

[Intuneトラブルシューティング] ウィンドウの新しいエクスペリエンスでは、ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイスの診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

[トラブルシューティングとサポート>のトラブルシューティング] を選択すると、管理センター Microsoft Intuneトラブルシューティング ウィンドウが表示されます。 プレビュー中に新しいエクスペリエンスを表示するには、[ トラブルシューティングの今後の変更をプレビューする ] を選択し、フィードバックを提供して [ トラブルシューティング] プレビュー ウィンドウを 表示し、[ 今すぐ試す] を選択します。

コンプライアンス ポリシーのないデバイスの新しいレポート (プレビュー)

コンプライアンス ポリシーのないデバイスという名前の新しいレポートが、Microsoft Intune管理センターの [レポート] ノードからアクセスできるデバイス コンプライアンス レポートに追加されました。 プレビュー段階のこのレポートでは、より多くの機能を提供する新しいレポート形式が使用されます。

この新しい組織レポートについては、「 コンプライアンス ポリシーのないデバイス (組織)」を参照してください。

このレポートの古いバージョンは、管理センターの [デバイス > モニター ] ページから引き続き使用できます。 最終的には、古いレポート バージョンは廃止されますが、現時点では引き続き使用できます。

管理上の注意が必要なテナントの問題に関するメッセージをサービス正常性する

Microsoft Intune管理センターの [サービス正常性とメッセージ センター] ページに、アクションが必要な環境内の問題のメッセージを表示できるようになりました。 これらのメッセージは、解決するアクションが必要になる可能性がある環境内の問題について管理者に警告するためにテナントに送信される重要な通信です。

[テナント管理>] [テナントの状態] に移動し、[サービス正常性とメッセージ センター] タブを選択することで、Microsoft Intune管理センターでアクションを必要とする環境内の問題に関するメッセージを表示できます。

管理センターのこのページの詳細については、「Intune テナントの状態」 ページの「テナントの詳細を表示する」を参照してください。

テナント管理

複数の証明書コネクタの UI エクスペリエンスの向上

25 を超える 証明書コネクタ が構成されている場合のエクスペリエンスの向上に役立つページ分割コントロールが [証明書コネクタ] ビューに追加されました。 新しいコントロールを使用すると、コネクタ レコードの合計数を確認でき、証明書コネクタを表示するときに特定のページに簡単に移動できます。

証明書コネクタを表示するには、Microsoft Intune管理センターで、[テナント管理>コネクタとトークン>証明書コネクタ] に移動します。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• 電圧セキュリティによる電圧セキュアメール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

スクリプト

Endpoint Analytics で PowerShell スクリプト パッケージのコンテンツをプレビューする

管理者は、事前修復のために PowerShell スクリプトのコンテンツのプレビューを表示できるようになりました。 コンテンツは、スクロール機能を備えた灰色表示のボックスに表示されます。 管理者は、プレビューでスクリプトの内容を編集できません。 管理センター Microsoft Intune、レポート エンドポイント分析>プロアクティブ修復を選択します>。 詳細については、「 プロアクティブ修復用の PowerShell スクリプト」を参照してください。

2023 年 1 月 16 日の週

アプリ管理

Win32 アプリの置き換え GA

Win32 アプリ置き換え GA の機能セットを使用できます。 ESP 中に置き換えのあるアプリのサポートが追加され、置き換え & 依存関係を同じアプリ サブグラフに追加することもできます。 詳細については、「 Win32 アプリの置き換えの機能強化」を参照してください。 Win32 アプリの置き換えについては、「 Win32 アプリの置き換えの追加」を参照してください。

2023 年 1 月 9 日の週

デバイス構成

ポータル サイト アプリは、仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスにパスワードの複雑さの設定を適用します

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスでは、パスワードの複雑さを設定するコンプライアンス ポリシーやデバイス構成プロファイルを作成できます。 2211 リリース以降、この設定はIntune管理センターで使用できます。

• デバイス>構成>> Create仕事用プロファイルを使用して個人所有のプラットフォーム>用のAndroid Enterprise
• デバイス>コンプライアンス ポリシー>Createポリシー>Android Enterprise for platform > 個人所有の仕事用プロファイル

ポータル サイト アプリでは、[パスワードの複雑さ] 設定が適用されます。

この設定と、仕事用プロファイルを使用して個人所有のデバイスで構成できるその他の設定の詳細については、次のページを参照してください。

• Intuneでの Android Enterprise のデバイス コンプライアンス設定
• Intuneの Android Enterprise のデバイス制限設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイス

2022 年 12 月 19 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Appian corporation (Android) によるIntuneの Appian

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 12 月 12 日の週 (サービス リリース 2212)

デバイス構成

リモート ヘルプクライアント アプリには、[テナント レベル] 設定でチャット機能を無効にする新しいオプションが含まれています

リモート ヘルプ アプリでは、管理者は新しいテナント レベル設定からチャット機能を無効にすることができます。 [チャットの無効化] 機能をオンにすると、リモート ヘルプ アプリのチャット ボタンが削除されます。 この設定は、Microsoft Intuneの [テナント管理] の [リモート ヘルプ設定] タブにあります。

詳細については、「テナントのリモート ヘルプを構成する」を参照してください。

適用対象: Windows 10/11

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成Create>>macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

File Vault > ファイル コンテナー のオプション:

• FV が無効になるのをブロックする
• FV の有効化をブロックする

制限事項:

• Bluetooth の変更を許可する

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

iOS、iPadOS、macOS デバイスでの SSO 拡張機能要求の既定の設定があります

シングル サインオン アプリ拡張機能の構成プロファイルを作成するときに、構成する設定がいくつかあります。 次の設定では、すべての SSO 拡張機能要求に次の既定値が使用されます。

• AppPrefixAllowList キー

  • macOS の既定値: com.microsoft.,com.apple.
  • iOS/iPadOS の既定値: com.apple.

• browser_sso_interaction_enabled キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

• disable_explicit_app_prompt キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

既定値以外の値を構成すると、構成された値によって既定値が上書きされます。

たとえば、キーを構成 AppPrefixAllowList しません。 既定では、すべての Microsoft アプリ (com.microsoft.) とすべての Apple アプリ (com.apple.) が macOS デバイスで SSO に対して有効になっています。 この動作は、 などの com.contoso.別のプレフィックスをリストに追加することで上書きできます。

Enterprise SSO プラグインの詳細については、「Microsoft Intuneの iOS/iPadOS および macOS デバイスで Microsoft Enterprise SSO プラグインを使用する」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

デバイスの登録

Android Enterprise 専用デバイスの登録トークンの有効期間が 65 年に増加

これで、最大 65 年間有効な Android Enterprise 専用デバイスの登録プロファイルを作成できるようになりました。 既存のプロファイルがある場合でも、プロファイルの作成時に選択した日付に登録トークンの有効期限が切れますが、更新中は有効期間を延長できます。 登録プロファイルの作成の詳細については、「Android Enterprise 専用デバイスのIntune登録を設定する」を参照してください。

デバイス管理

すべての監視対象デバイスで macOS のポリシーを更新できるようになりました

macOS デバイスのソフトウェア更新ポリシーが、すべての macOS 監視対象デバイスに適用されるようになりました。 以前は、自動デバイス登録 (ADE) を通じて登録されたデバイスのみが更新プログラムを受け取る資格があります。 macOS の更新ポリシーの構成の詳細については、「Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

Windows 機能更新プログラムと迅速な品質更新プログラムのポリシーとレポートが一般公開されました

Windows 10以降の機能更新プログラムと品質更新プログラム (迅速な更新プログラム) を管理するためのポリシーとレポートはどちらもプレビュー段階から外れ、一般公開されています。

これらのポリシーとレポートの詳細については、次を参照してください。

• 機能更新ポリシー
• 品質更新プログラムの迅速化ポリシー
• Windows Update コンプライアンス レポート

適用対象:

• Windows 10 または 11

2022 年 11 月 28 日の週

アプリ管理

Intuneの Microsoft Store アプリ

これで、Intune内で Microsoft Store アプリを検索、参照、構成、デプロイできるようになりました。 新しい Microsoft Store アプリの種類は、Windows パッケージ マネージャーを使用して実装されます。 このアプリの種類は、UWP アプリと Win32 アプリの両方を含むアプリの拡張カタログを備えています。 この機能のロールアウトは、2022 年 12 月 2 日までに完了する予定です。 詳細については、「Microsoft Intuneに Microsoft Store アプリを追加する」を参照してください。

テナント管理

複数の管理者承認のアクセス ポリシー (パブリック プレビュー)

パブリック プレビューでは、Intuneアクセス ポリシーを使用して、変更が適用される前に 2 つ目の管理者承認アカウントが変更を承認するように要求できます。 この機能は、複数の管理者承認 (MAA) と呼ばれます。

アクセス ポリシーを作成して、アプリのデプロイなどのリソースの種類を保護します。 各アクセス ポリシーには、ポリシーによって保護された変更の 承認者 であるユーザーのグループも含まれます。 アプリのデプロイ構成などのリソースがアクセス ポリシーによって保護されている場合、デプロイに加えられた変更 (既存のデプロイの作成、削除、変更など) は、そのアクセス ポリシーの承認者グループのメンバーがその変更を確認して承認するまで適用されません。

承認者は、要求を拒否することもできます。 変更を要求する個人と承認者は、変更に関するメモ、または変更が承認または拒否された理由を示すことができます。

アクセス ポリシーは、次のリソースでサポートされています。

• アプリ – アプリの デプロイには適用されますが、アプリ保護ポリシーには適用されません。
• スクリプト – macOS または Windows を実行するデバイスへのスクリプトの展開に適用されます。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

デバイスのセキュリティ

Android 用モバイル アプリケーション管理用 Microsoft Tunnel (プレビュー)

パブリック プレビューとして、登録されていないデバイスで Microsoft Tunnel を使用できるようになりました。 この機能は、 Microsoft Tunnel for Mobile Application Management (MAM) と呼ばれます。 このプレビューでは Android がサポートされており、既存の Tunnel インフラストラクチャに変更を加えずに、次の場合に Tunnel VPN ゲートウェイがサポートされます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

Tunnel MAM を使用するには、登録されていないデバイスで Microsoft Edge、Microsoft Defender for Endpoint、ポータル サイトをインストールする必要があります。 その後、Microsoft Intune管理センターを使用して、登録されていないデバイスの次のプロファイルを構成できます。

• Tunnel クライアント アプリとして使用するデバイスでMicrosoft Defenderを構成するための、マネージド アプリのアプリ構成プロファイル。
• Tunnel に接続するように Microsoft Edge を構成するための、マネージド アプリ用の 2 つ目のアプリ構成プロファイル。
• Microsoft Tunnel 接続の自動開始を有効にするアプリ保護 プロファイル。

適用対象:

• Android Enterprise

2022 年 11 月 14 日の週 (サービス リリース 2211)

アプリ管理

マネージド Google Play アプリの表示を制御する

マネージド Google Play アプリをコレクションにグループ化し、Intuneでアプリを選択するときにコレクションが表示される順序を制御できます。 また、検索のみでアプリを表示することもできます。 この機能は、管理センター Microsoft Intune [アプリ>] [すべてのアプリ] [マネージド Google Play アプリ>の追加]> の順に選択することで利用できます。 詳細については、「Intune 管理センターでマネージド Google Play ストア アプリを直接追加する」を参照してください。

デバイス構成

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスの新しいパスワードの複雑さの設定

仕事用プロファイルを持つ Android Enterprise 11 以前の個人所有デバイスでは、次のパスワード設定を設定できます。

• デバイス>コンプライアンス>Android Enterprise for platform >個人所有の仕事用プロファイル>システム セキュリティ>必要なパスワードの種類、 最小パスワードの長さ
• デバイス>構成>Android Enterprise for platform >個人所有の仕事用プロファイル>デバイスの>制限仕事用プロファイルの設定>必要なパスワードの種類、最小パスワードの長さ
• デバイス>構成>Android Enterprise for platform >個人所有の仕事用プロファイル>デバイスの>制限パスワード>が必要なパスワードの種類、最小パスワードの長さ

Google では、Android 12 以降の個人所有デバイスの 必須パスワードの種類 と 最小パスワード長 の設定を仕事用プロファイルに非推奨とし、新しいパスワードの複雑さの要件に置き換えています。 この変更の詳細については、「 Android 13 の 0 日目のサポート」を参照してください。

新しい [パスワードの複雑さ ] 設定には、次のオプションがあります。

• なし: Intuneこの設定は変更または更新されません。 既定では、OS がパスワードを要求しない可能性があります。
• Low: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN はブロックされます。
• 中: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN はブロックされます。 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。
• 高: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つ PIN はブロックされます。 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。

Android 12 以降では、現在、コンプライアンス ポリシーまたはデバイス構成プロファイルで [必須のパスワードの種類 ] と [最小パスワード長] 設定を使用している場合は、代わりに新しい [パスワードの複雑さ ] 設定を使用することをお勧めします。

[必須のパスワードの種類] と [最小パスワード長] 設定を引き続き使用し、[パスワードの複雑さ] 設定を構成しない場合、Android 12 以降を実行している新しいデバイスが既定で [パスワードの複雑度が高い] に設定されている可能性があります。

これらの設定の詳細と、非推奨の設定が構成されている既存のデバイスに対する動作の詳細については、次のページを参照してください。

• 仕事用プロファイルを持つ Android Enterprise 個人所有のデバイス - 構成プロファイル設定の一覧
• 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス - コンプライアンス ポリシー設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12.0 以降の個人所有デバイス

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

ネットワーク > DNS 設定:

• DNS プロトコル
• サーバー アドレス
• サーバー名
• サーバー URL
• 補足一致ドメイン
• オンデマンド ルール
• アクション
• アクション パラメーター
• DNS ドメインの一致
• DNS サーバー アドレスの一致
• インターフェイスの種類の一致
• SSID 一致
• URL 文字列プローブ
• 無効化の禁止

File Vault:

• 延期
• [ユーザー ログアウト時に要求しない] を延期する
• ユーザー ログイン時の強制遅延の最大バイパス試行数
• 有効にする
• 回復キーを表示する
• 回復キーを使用する

File Vault > File Vault Recovery Key Escrow:

• デバイス キー
• 場所

制限事項:

• Air Play 受信要求を許可する

適用対象:

• macOS

Web > Web コンテンツ フィルター:

• リスト ブックマークを許可する
• 自動フィルターが有効
• 拒否リスト URL
• フィルター ブラウザー
• データ プロバイダー バンドル識別子をフィルター処理する
• フィルター データ プロバイダー指定要件
• フィルターの成績
• パケット プロバイダー バンドル識別子をフィルター処理する
• パケット プロバイダー指定要件をフィルター処理する
• パケットのフィルター処理
• フィルター ソケット
• フィルターの種類
• 組織
• Password
• 許可される URL
• プラグイン バンドル ID
• サーバー アドレス
• ユーザー定義名
• ユーザー名
• ベンダー構成

適用対象:

• iOS/iPadOS
• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

デバイス ファームウェア構成インターフェイス (DFCI) は、Panasonic デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>の構成>Create>Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス) を管理できます。

2022 年秋から DFCI で、Windows 10/11 を実行する新しいパナソニック デバイスが有効になっています。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Panasonic デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

設定カタログを使用した macOS デバイスでのサインインとバックグラウンド アイテム管理のサポート

macOS デバイスでは、ユーザーが macOS デバイスにサインインしたときにアイテムを自動的に開くポリシーを作成できます。 たとえば、アプリ、ドキュメント、フォルダーを開くことができます。

Intuneでは、設定カタログには、プラットフォーム>設定カタログLogin> Service Management のデバイス>構成>Create>macOS の新しいサービス管理設定>が含まれています。 これらの設定により、ユーザーは自分のデバイスでマネージド ログインとバックグラウンドアイテムを無効にできなくなります。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して設定を構成する
• 設定カタログを使用して完了できる一般的なタスク

適用対象:

• macOS 13 以降

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Varicent by Varicent US OpCo Corporation
• myBLDNG by Bldng.ai
• Stratospherix Ltd によるIntuneのエンタープライズ ファイル
• ArcGIS Indoors for Intune by ESRI
• 意思決定別の会議 AS
• Idenprotect Go by Apply Mobile Ltd

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

管理センターでクラウド PC 接続の正常性チェックとエラー Microsoft Intune確認する

Microsoft Intune管理センターで接続の正常性チェックとエラーを確認して、ユーザーに接続の問題が発生しているかどうかを理解できるようになりました。 接続の問題の解決に役立つトラブルシューティング ツールもあります。 チェックを表示するには、[デバイス>] を選択しますWindows 365>Azure ネットワーク接続>は、一覧の [概要] で接続を選択します>。

テナント管理

Windows 11の組織のメッセージを配信する (パブリック プレビュー)

Microsoft Intuneを使用して、デバイス上の従業員に重要なメッセージと行動喚起を配信します。 組織のメッセージは、リモートおよびハイブリッド作業のシナリオで従業員のコミュニケーションを向上させることを目的とした事前構成済みのメッセージです。 従業員が新しいロールに適応したり、organizationの詳細を確認したり、新しい更新プログラムやトレーニングを常に把握したりするのに役立ちます。 タスク バーのすぐ上、通知領域、または Windows 11 デバイスの作業開始アプリでメッセージを配信できます。

パブリック プレビューでは、次のことができます。

• Microsoft Entraユーザー グループに割り当てる、構成済みの一般的なさまざまなメッセージから選択します。
• organizationのロゴを追加します。
• デバイス ユーザーを特定の場所にリダイレクトするカスタム宛先 URL をメッセージに含めます。
• 15 のサポートされている言語でメッセージを暗いテーマと明るいテーマでプレビューします。
• 配信期間とメッセージの頻度をスケジュールします。
• メッセージの状態と、受信したビューとクリックの数を追跡します。 ビューとクリックはメッセージによって集計されます。
• スケジュールされたメッセージまたはアクティブなメッセージを取り消します。
• 組織メッセージ マネージャーと呼ばれるIntuneで新しい組み込みロールを構成します。これにより、割り当てられた管理者はメッセージを表示および構成できます。

すべての構成は、Microsoft Intune管理センターで行う必要があります。 Microsoft Graph APIは、組織のメッセージでは使用できません。 詳細については、「 組織のメッセージの概要」を参照してください。

2022 年 11 月 7 日の週

アプリ管理

Windows Information Protectionのサポートを終了する

登録のない Windows Information Protection (WIP) ポリシーは非推奨になっています。 登録なしでは、新しい WIP ポリシーを作成できなくなります。 2022 年 12 月まで、 登録なしの シナリオの廃止が完了するまで、既存のポリシーを変更できます。 詳細については、「プラン for Change: Ending support for Windows Information Protection」を参照してください。

デバイス構成

Windows 11マルチセッション VM のユーザー構成のサポートが一般公開されました

今後は次のことができるようになりました。

• 設定カタログを使用してユーザー スコープ ポリシーを構成し、ADMX によって取り込まれたポリシーを含むユーザー のグループに割り当てる
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 11
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2022 年 10 月 31 日の週

アプリ管理

Intuneのプライマリ MTD サービス アプリ保護ポリシー設定

Intuneでは、プラットフォームごとの App Protection Policy の評価に対して、Microsoft Defender for Endpointと 1 つの非モバイル脅威防御 (MTD) コネクタの両方を "オン" にすることがサポートされるようになりました。 この機能により、お客様がMicrosoft Defender for Endpointと Microsoft 以外の MTD サービスの間で移行するシナリオが可能になります。 また、App Protection Policy のリスク スコアを使用して保護を一時停止することは望まれません。 エンド ユーザーに適用する必要があるサービスを指定するために、[プライマリ MTD サービス] というタイトルの条件付き起動正常性チェックに新しい設定が導入されました。 詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS アプリ保護ポリシー設定」を参照してください。

2022 年 10 月 24 日の週 (サービス リリース 2210)

アプリ管理

管理対象デバイスのアプリ構成ポリシーでフィルターを使用する

フィルターを使用して、管理対象デバイスのアプリ構成ポリシーをデプロイするときに割り当てスコープを絞り込むことができます。 最初に、iOS と Android で使用可能なプロパティのいずれかを使用して フィルターを作成 する必要があります。 次に、管理センター Microsoft Intuneで、[アプリ>] [アプリの構成ポリシー] [管理対象デバイスの追加>] の順に選択して、マネージドアプリ構成ポリシー>を割り当て、割り当てページに移動できます。 グループを選択した後、フィルターを選択し、 含める または 除外 モードで使用することを決定することで、ポリシーの適用性を調整できます。 フィルターの関連情報については、「管理センターでアプリ、ポリシー、プロファイルを割り当てるときにフィルター Microsoft Intune使用する」を参照してください。

デバイス構成

グループ ポリシー分析では、グループ ポリシー オブジェクトをインポートするときに管理者に割り当てられたスコープ タグが自動的に適用されます

グループ ポリシー分析では、オンプレミスの GPO をインポートして、Microsoft Intuneを含むクラウドベースの MDM プロバイダーをサポートするポリシー設定を確認できます。 非推奨の設定や使用できない設定も確認できます。

これで、管理者に割り当てられたスコープ タグは、これらの管理者が GPO をグループ ポリシー分析にインポートするときに自動的に適用されます。

たとえば、管理者には 、ロールに割り当てられた Charlotte、 London、または Boston のスコープ タグがあります。

• Charlotte スコープ タグを持つ管理者が GPO をインポートします。
• Charlotte スコープ タグは、インポートされた GPO に自動的に適用されます。
• Charlotte スコープ タグを持つすべての管理者は、インポートされたオブジェクトを表示できます。
• ロンドンまたはボストンスコープタグのみを持つ管理者は、Charlotte 管理者からインポートされたオブジェクトを表示できません。

管理者が分析を確認したり、インポートした GPO をIntune ポリシーに移行したりするには、これらの管理者は、インポートを行った管理者と同じスコープ タグのいずれかを持っている必要があります。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• Microsoft Intuneのグループ ポリシー分析を使用してオンプレミスの GPO を分析する
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

適用対象:

• Windows 11
• Windows 10

Microsoft Intuneの新しいネットワーク エンドポイント

Intune サービスに追加された新しい Azure Scale Units (ASU) に対応するために、新しいネットワーク エンドポイントがドキュメントに追加されました。 Microsoft Intuneのすべてのネットワーク エンドポイントが最新の状態になるように、ファイアウォール規則を最新の IP アドレスの一覧で更新することをお勧めします。

完全な一覧については、Microsoft Intuneのネットワーク エンドポイントに関するページを参照してください。

Windows 11 SE オペレーティング システム SKU を使用してアプリとグループ ポリシーの割り当てをフィルター処理する

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

2 つの新しいWindows 11 SE オペレーティング システム SKU を使用できます。 これらの SKU を割り当てフィルターで使用して、グループターゲットのポリシーとアプリケーションを適用Windows 11 SEデバイスを含めたり除外したりできます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Microsoft Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Windows 11 SE

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

新しい設定は、設定カタログで使用できます。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

ネットワーク > 携帯ネットワーク:

• XLAT464を有効にする

適用対象:

• iOS/iPadOS

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ バンドル

適用対象:

• macOS

制限事項:

• 迅速なセキュリティ対応のインストールを許可する
• 迅速なセキュリティ対応の削除を許可する

適用対象:

• iOS/iPadOS
• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

Windows デバイス上のデバイス ファームウェア構成インターフェイス (DFCI) プロファイルの新しい設定

Windows OS が管理コマンドを Intune から UEFI に渡すことができる DFCI プロファイルを作成できます (統合拡張ファームウェア インターフェイス) (デバイス>構成>Create>Windows 10 以降のプラットフォーム >テンプレート > デバイス ファームウェア構成インターフェイス)

この機能を使用して、BIOS 設定を制御できます。 DFCI ポリシーで構成できる新しい設定があります。

• カメラ：

  • フロント カメラ
  • 赤外線カメラ
  • リアカメラ

• ラジオ:

  • WWAN
  • Nfc

• ポート

  • SD カード

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune で Windows デバイスのデバイスのファームウェア構成インターフェイス (DFCI) プロファイルを使用する
• DFCI プロファイル設定の一覧

適用対象:

• サポートされている UEFI での Windows 11
• サポートされている UEFI での Windows 10 RS5 (1809) 以降

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントでは、Just In Time Registration (パブリック プレビュー) がサポートされます

Intuneでは、先進認証でセットアップ アシスタントを使用する iOS/iPadOS 登録シナリオの Just-In Time (JIT) 登録がサポートされます。 JIT 登録により、プロビジョニング エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、よりシームレスなオンボード エクスペリエンスが提供されます。 登録とコンプライアンスチェックをMicrosoft Entraするためのポータル サイト アプリを用意する必要がなくなり、デバイス全体でシングル サインオンが確立されます。 JIT 登録は、Apple 自動デバイス登録を使用して登録し、iOS/iPadOS 13.0 以降を実行しているデバイスのパブリック プレビューで使用できます。 詳細については、「 自動デバイス登録の認証方法」を参照してください。

デバイス管理

Intuneで Chrome OS デバイスを接続する (パブリック プレビュー)

Microsoft Intune管理センターで Chrome OS で実行されている会社または学校所有のデバイスを表示します。 パブリック プレビューでは、Google 管理 コンソールと管理センター Microsoft Intune間の接続を確立できます。 Chrome OS エンドポイントに関するデバイス情報は、Intuneに同期され、デバイス インベントリリストで表示されます。 再起動、ワイプ、紛失モードなどの基本的なリモート アクションは、管理センターでも使用できます。 接続を設定する方法の詳細については、「 Chrome Enterprise コネクタを構成する」を参照してください。

Intuneを使用して macOS ソフトウェア更新プログラムを管理する

Intune ポリシーを使用して、自動デバイス登録 (ADE) を使用して登録されたデバイスの macOS ソフトウェア更新プログラムを管理できるようになりました。 Intuneでの macOS ソフトウェア更新ポリシーの管理に関するページを参照してください。

Intuneでは、次の macOS 更新プログラムの種類がサポートされています。

• 緊急更新プログラム
• ファームウェアの更新
• 構成ファイルの更新
• その他のすべての更新プログラム (OS、組み込みアプリ)

デバイスの更新時のスケジュール設定に加えて、次のような動作を管理できます。

• ダウンロードとインストール: 現在の状態に応じて、更新プログラムをダウンロードまたはインストールします。
• ダウンロードのみ: ソフトウェア更新プログラムをインストールせずにダウンロードします。
• 直ちにインストールする: ソフトウェア更新プログラムをダウンロードし、再起動カウントダウン通知をトリガーします。
• 通知のみ: ソフトウェア更新プログラムをダウンロードし、App Storeを通じてユーザーに通知します。
• 後でインストールする: ソフトウェア更新プログラムをダウンロードし、後でインストールします。
• [未構成]: ソフトウェア更新プログラムに対してアクションは実行されません。

macOS ソフトウェア更新プログラムの管理に関する Apple の詳細については、Apple のプラットフォーム展開に関するドキュメントの 「Apple デバイスのソフトウェア更新プログラムの管理 - Apple サポート 」を参照してください。 Apple は、Apple のセキュリティ更新プログラム - Apple サポートでセキュリティ更新プログラムの一覧を保持しています。

Microsoft Intune管理センター内から Jamf Pro のプロビジョニングを解除する

jamf Pro のプロビジョニングを解除して、Microsoft Intune管理センター内から統合をIntuneできるようになりました。 この機能は、統合のプロビジョニングを解除できる Jamf Pro コンソールにアクセスできなくなった場合に便利です。

この機能は、Jamf Pro コンソール内から Jamf Pro を切断するのと同様に機能します。 そのため、統合を削除すると、organizationの Mac デバイスは 90 日後にIntuneから削除されます。

iOS/iPadOS で実行されている個々のデバイスで使用できる新しいハードウェアの詳細

[デバイス]>[すべてのデバイス]> を選択し、一覧表示されているデバイスのいずれかを選択して、その [ハードウェア] の詳細を開きます。 次の新しい詳細は、個々のデバイスの [ ハードウェア ] ウィンドウで使用できます。

• バッテリー レベル: 0 から 100 の間の任意の場所にあるデバイスのバッテリ レベルを示します。バッテリー レベルを決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 5.0 以降を実行しているデバイスで使用できます。
• 常駐ユーザー: 共有 iPad デバイス上の現在のユーザーの数を示します。ユーザーの数を決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 13.4 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intuneを使用してデバイスの詳細を表示する」を参照してください。

適用対象

• iOS/iPadOS

フィルターで値を使用する$null

アプリとポリシーをグループに割り当てると、フィルターを使用して、作成したルール (テナント管理>フィルター>Create) に基づいてポリシーを割り当てることができます。 これらの規則では、カテゴリや登録プロファイルなど、さまざまなデバイス プロパティが使用されます。

これで、 と -NotEquals 演算子で値を-Equals使用$nullできます。

たとえば、次のシナリオでは、 $null の値を使用します。

• デバイスにカテゴリが割り当てられないすべてのデバイスをターゲットにする必要があります。
• デバイスに割り当てられている登録プロファイル プロパティがないデバイスをターゲットにする必要があります。

フィルターと作成できるルールの詳細については、次のページを参照してください。

• Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Microsoft Intuneでフィルターを作成するときのデバイスのプロパティ、演算子、およびルールの編集

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 または 11

デバイスのセキュリティ

デバイス制御プロファイルのリムーバブル 記憶域の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、攻撃面の縮小ポリシーで、デバイス制御プロファイルで再利用可能な設定グループを使用できます。

デバイス制御プロファイルの再利用可能なグループには、リムーバブル ストレージの 読み取り、 書き込み、 実行 アクセスの管理をサポートする設定のコレクションが含まれます。 一般的なシナリオの例を次に示します。

• 特定の承認済み USB を許可する以外のすべてに対する書き込みおよび実行アクセスを禁止する
• 特定の承認されていない USB をブロックする以外のすべてに対する書き込みと実行のアクセスを監査する
• 共有 PC 上の特定のリムーバブル 記憶域へのアクセスを特定のユーザー グループのみに許可する

適用対象:

• Windows 10 以降

Microsoft Defender ファイアウォール規則の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、Microsoft Defender ファイアウォール規則のプロファイルで使用できる設定の再利用可能なグループを使用できます。 再利用可能なグループは、1 回定義したリモート IP アドレスと FQDN のコレクションであり、1 つ以上のファイアウォール規則プロファイルで使用できます。 必要になる可能性がある各プロファイルで、同じ IP アドレス グループを再構成する必要はありません。

再利用可能な設定グループの機能は次のとおりです。

• 1 つ以上のリモート IP アドレスを追加します。

• リモート IP アドレスに自動解決できる 1 つ以上の FQDN を追加するか、グループの自動解決がオフのときに 1 つ以上の単純なキーワードを追加します。

• 1 つ以上のファイアウォール規則プロファイルで各設定グループを使用し、異なるプロファイルでグループの異なるアクセス構成をサポートできます。

  たとえば、同じ再利用可能な設定グループを参照し、各プロファイルを異なるデバイス グループに割り当てる 2 つのファイアウォール規則プロファイルを作成できます。 1 つ目のプロファイルでは、再利用可能な設定グループ内のすべてのリモート IP アドレスへのアクセスをブロックできますが、2 つ目のプロファイルはアクセスを許可するように構成できます。

• 使用中の設定グループに対する編集は、そのグループを使用するすべてのファイアウォール規則プロファイルに自動的に適用されます。

ルールごとに攻撃面の縮小ルールの除外

攻撃表面の縮小ルール ポリシーのルールごとの除外を構成できるようになりました。 規則ごとの除外は、新しい規則ごとの設定 ASR 規則ごとの除外のみによって有効になります。

攻撃面の縮小ルール ポリシーを作成または編集し、除外をサポートする設定を既定の [未構成] から他の使用可能なオプションのいずれかに変更すると、新しい設定ごとの除外オプションが使用できるようになります。 ASR のみのルール除外の設定インスタンスの構成は、その設定にのみ適用されます。

[攻撃面の縮小のみ除外] の設定を使用して、デバイス上のすべての攻撃面の縮小ルールに適用されるグローバル 除外を引き続き構成できます。

適用対象:

• Windows 10 または 11

注:

ASR ポリシーは、 規則の除外ごとの ASR のみの マージ機能をサポートしていません。また、同じデバイスの競合に対して ASR のみの規則の除外 を構成する複数のポリシーが発生すると、ポリシーの競合が発生する可能性があります。 競合を回避するには、 規則の除外ごとの ASR のみの 構成を 1 つの ASR ポリシーに結合します。 今後の更新で 、ASR のみのルール除外 に対するポリシー マージの追加を調査しています。

Android Enterprise デバイスで証明書をサイレント モードで使用するためのアクセス許可をアプリに付与する

フル マネージド、専用、および Corporate-Owned 作業プロファイルとして登録されている Android Enterprise デバイス上のアプリによる証明書のサイレント使用を構成できるようになりました。

この機能は、証明書プロファイル構成ワークフローの新しい [アプリ] ページで、[ 証明書アクセス 権] を [ 特定のアプリに対してサイレントに付与する ] (他のアプリではユーザーの承認が必要) に設定することで利用できます。 この構成では、選択したアプリで証明書が自動的に使用されます。 他のすべてのアプリでは、ユーザーの承認を必要とする既定の動作が引き続き使用されます。

この機能では、Android Enterprise のフル マネージド、専用、および Corporate-Owned 作業プロファイルに対してのみ、次の証明書プロファイルがサポートされます。

• 派生した資格情報
• インポートされた PKCS
• PKCS
• SCEP

Microsoft Intune アプリのアプリ内通知

Android オープン ソース プロジェクト (AOSP) デバイス ユーザーは、Microsoft Intune アプリでコンプライアンス通知を受信できるようになりました。 この機能は、AOSP ユーザー ベースのデバイスでのみ使用できます。 詳細については、「 AOSP コンプライアンス通知」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• MyITOps, Ltd によるIntune用 MyITOps
• MURAL - Visual Collaboration by Tactivos, Inc

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 10 月 17 日の週

アプリ管理

Android デバイス上のマネージド アプリ用の強化されたアプリ ピッカー

Android デバイス ユーザーは、Intune ポータル サイト アプリで既定のアプリ選択を選択、表示、削除できます。 ポータル サイトは、管理対象アプリに対するデバイス ユーザーの既定の選択肢を安全に格納します。 ユーザーは、[設定]>[既定のアプリ] [既定値>を表示] に移動して、ポータル サイト アプリで選択内容を表示および削除できます。 この機能は、Android MAM SDK の一部であるマネージド アプリ用の Android カスタム アプリ ピッカーの機能強化です。 既定のアプリを表示する方法の詳細については、「既定のアプリの 表示と編集」を参照してください。

2022 年 10 月 10 日の週

デバイス管理

Microsoft エンドポイント マネージャーのブランド化の変更

2022 年 10 月 12 日の時点で、Microsoft Endpoint Manager という名前は使用されなくなります。 今後は、クラウドベースの統合エンドポイント管理をMicrosoft Intune、オンプレミス管理をMicrosoft Configuration Managerと言います。 高度な管理の開始に伴い、Microsoft Intuneは Microsoft のエンドポイント管理ソリューション向けの製品ファミリの名前です。 詳細については、エンドポイント管理 Tech Community ブログの 公式のお知らせ を参照してください。 Microsoft エンドポイント マネージャーを削除するためのドキュメントの変更が進行中です。

詳細については、Intuneドキュメントを参照してください。

Windows ポータル サイトに表示される猶予期間の状態

Windows ポータル サイトには、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスの状態は非準拠に変わります。 猶予期間の設定の詳細については、「 コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成 する」および「 デバイスの詳細ページからアクセスを確認する」を参照してください。

Microsoft Intuneで利用可能な Linux デバイス管理

Microsoft Intuneでは、Ubuntu Desktop 22.04 または 20.04 LTS を実行しているデバイスの Linux デバイス管理がサポートされるようになりました。 Intune管理者は、Microsoft Intune管理センターで Linux 登録を有効にするために何もする必要はありません。 Linux ユーザーは 、サポートされている Linux デバイス を自分で登録し、Microsoft Edge ブラウザーを使用して企業リソースにオンラインでアクセスできます。

管理センターでは、次のことができます。

• Microsoft Edge で条件付きアクセス ポリシーを適用します。
• 次に関する規則を使用して Linux デバイス コンプライアンス ポリシーをCreateします。
  • 許可されるディストリビューション
  • カスタム コンプライアンス
  • デバイスの暗号化
  • パスワード ポリシー
• 検出用の POSIX 準拠シェル スクリプトと JSON ファイルを使用してカスタム コンプライアンス設定を適用し、使用するカスタム設定を定義します。

2022 年 10 月 3 日の週

デバイスのセキュリティ

コンプライアンス違反の警告メッセージにリンクが含まれている

リモート ヘルプでは、コンプライアンス違反警告通知 [デバイスコンプライアンス情報の表示] にリンクが追加され、ヘルパーはデバイスがMicrosoft Intuneで準拠していない理由の詳細を確認できます。

詳細については、次を参照してください:

• Microsoft Intune リモート ヘルプ

• デバイスのコンプライアンスを監視する

適用対象: Windows 10/11

2022 年 9 月 26 日の週

監視とトラブルシューティング

Microsoft Intune管理センターでコンテキストを失わずにヘルプとサポートを開く

Microsoft Intune管理センターのアイコンを使用?して、管理センターの現在のフォーカス ノードを失うことなく、ヘルプとサポート セッションを開くようになりました。 アイコンは ? 、管理センターのタイトル バーの右上に常に表示されます。 この変更により、 ヘルプとサポートにアクセスする別の方法が追加されます。

を選択 ?すると、管理センターによって、新しい個別のサイド バイ サイド ウィンドウでヘルプとサポート ビューが開きます。 この別のウィンドウを開くと、元の場所に影響を与えずにサポート エクスペリエンスを自由に移動し、管理センターに集中できます。

2022 年 9 月 19 日の週 (サービス リリース 2209)

アプリ管理

Microsoft Intuneの新しいアプリの種類

管理者は、次の 2 種類のIntune アプリを作成して割り当てることができます。

• iOS/iPadOS Web クリップ
• Windows Web リンク

これらの新しいアプリの種類は、既存の Web リンク アプリケーションの種類と同様に機能しますが、Web リンク アプリケーションはすべてのプラットフォームに適用されるのに対し、特定のプラットフォームにのみ適用されます。 これらの新しいアプリの種類では、グループに割り当てることができ、割り当てフィルターを使用して割り当てのスコープを制限することもできます。 この機能は、Microsoft Intune管理センター>アプリ>のすべてのアプリ>の追加にあります。

デバイス管理

Microsoft IntuneはWindows 8.1のサポートを終了しています

Microsoft Intuneは、Windows 8.1を実行しているデバイスのサポートを 2022 年 10 月 21 日に終了します。 その日以降、Windows 8.1を実行しているデバイスを保護するのに役立つテクニカル アシスタンスと自動更新は使用できなくなります。 また、基幹業務アプリのサイドローディング シナリオはWindows 8.1デバイスにのみ適用されるため、IntuneではサイドローディングWindows 8.1サポートされなくなります。 サイドローディングは、インストールしてから、Microsoft Store によって承認されていないアプリを実行またはテストしています。 Windows 10/11 では、"サイドローディング" は、"信頼されたアプリのインストール" を含むようにデバイス構成ポリシーを設定するだけです。 詳細については、「プランの変更: Windows 8.1のサポート終了」を参照してください。

割り当てに表示されるグループ メンバー数

管理センターでポリシーを割り当てるときに、グループ内のユーザーとデバイスの数を確認できるようになりました。 両方のカウントを使用すると、適切なグループを特定し、割り当てが適用する前に与える影響を把握するのに役立ちます。

デバイス構成

Android Enterprise デバイスにカスタム サポート情報を追加するときの新しいロック画面メッセージ

Android Enterprise デバイスでは、デバイスにカスタム サポート メッセージを表示するデバイス制限構成プロファイルを作成できます (デバイス>の構成>Create>Android Enterprise>フル マネージド、専用、および企業所有の仕事用プロファイルプロファイル > プロファイルの種類のデバイス制限 プロファイルの種類>カスタム サポート情報)。

構成できる新しい設定があります。

• ロック画面メッセージ: デバイスロック画面に表示されるメッセージを追加します。

ロック画面メッセージを構成するときに、次のデバイス トークンを使用してデバイス固有の情報を表示することもできます。

• {{AADDeviceId}}: デバイス ID をMicrosoft Entraします
• {{AccountId}}: テナント ID またはアカウント ID をIntuneします
• {{DeviceId}}: デバイス ID をIntuneします
• {{DeviceName}}: デバイス名Intune
• {{domain}}: ドメイン名
• {{EASID}}: Exchange Active Sync ID
• {{IMEI}}: デバイスの IMEI
• {{mail}}: ユーザーのアドレスをEmailします
• {{MEID}}: デバイスの MEID
• {{partialUPN}}: シンボルの前の @ UPN プレフィックス
• {{SerialNumber}}: デバイスのシリアル番号
• {{SerialNumberLast4Digits}}: デバイスのシリアル番号の最後の 4 桁
• {{UserId}}: ユーザー ID Intune
• {{UserName}}: ユーザー名
• {{userPrincipalName}}: ユーザーの UPN

注:

変数は UI では検証されず、大文字と小文字が区別されます。 その結果、誤った入力で保存されたプロファイルが表示される場合があります。 たとえば、 または {{DEVICEID}}ではなく を入力{{DeviceID}}すると、デバイスの{{deviceid}}一意の ID ではなくリテラル文字列が表示されます。 必ず正しい情報を入力してください。 すべての小文字またはすべての大文字の変数はサポートされていますが、混在はサポートされていません。

この設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 7.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Windows デバイスの設定カタログのユーザー スコープまたはデバイス スコープでフィルター処理する

設定カタログ ポリシーを作成するときは、[設定>の追加] フィルターを使用して、Windows OS エディション (デバイス>構成>Create Windows 10>以降のプラットフォーム>のプロファイルの種類の設定カタログ) に基づいて設定をフィルター処理できます。

[フィルターの追加] を選択すると、ユーザー スコープまたはデバイス スコープで設定をフィルター処理することもできます。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 10
• Windows 11

Android オープン ソース プロジェクト (AOSP) プラットフォームの一般公開

Android オープン ソース プロジェクト (AOSP) プラットフォームで実行される企業所有デバイスのMicrosoft Intune管理が一般公開されました (GA)。 この機能には、パブリック プレビューの一部として利用できる機能の完全なスイートが含まれています。

現在、Microsoft Intuneでは RealWear デバイスの新しい Android (AOSP) 管理オプションのみがサポートされています。

• 展開ガイド: Microsoft Intune で Android デバイスを管理する
• 展開ガイド: Microsoft Intune で Android デバイスを登録する

適用対象:

• Android Open Source Project (AOSP)

デバイス ファームウェア構成インターフェイス (DFCI) で Acer デバイスがサポートされるようになりました

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>の構成>Create>Windows 10以降のプロファイルの種類のプラットフォーム >テンプレート>デバイス ファームウェア構成インターフェイス) を管理できます。

Windows 10/11 を実行している新しい Acer デバイスは、2022 年後半に DFCI で有効になります。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Acer デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

Intuneの DFCI プロファイルの詳細については、「Microsoft Intuneの Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを使用する」を参照してください。

適用対象:

• Windows 10
• Windows 11

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

設定カタログには新しい設定があります。 Microsoft Intune管理センターでは、[デバイス>の構成>>Create iOS/iPadOS または macOS for platform >Settings catalog for profile type] でこれらの設定を確認できます。

新しい設定には、次のものが含まれます。

アカウント > LDAP:

• LDAP アカウントの説明
• LDAP アカウント のホスト名
• LDAP アカウント パスワード
• LDAP アカウント SSL を使用する
• LDAP アカウント ユーザー名
• LDAP Search設定

適用対象:

• iOS/iPadOS
• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

プライバシー > プライバシー設定ポリシーの制御:

• ユーザー補助
• アドレス帳
• Apple イベント
• 予定表
• カメラ
• ファイル プロバイダーのプレゼンス
• リッスン イベント
• メディア ライブラリ
• マイク
• Photos
• イベントの投稿
• リマインダー
• スクリーン キャプチャ
• 音声認識
• システム ポリシーのすべてのファイル
• システム ポリシー デスクトップ フォルダー
• システム ポリシー ドキュメント フォルダー
• システム ポリシーのダウンロード フォルダー
• システム ポリシー ネットワーク ボリューム
• システム ポリシーリムーバブル ボリューム
• システム ポリシー Sys 管理 ファイル

適用対象:

• macOS

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

デバイスの登録

登録通知を設定する (パブリック プレビュー)

登録通知は、新しいデバイスがMicrosoft Intuneに登録されたときに、電子メールまたはプッシュ通知を介してデバイス ユーザーに通知します。 登録通知は、セキュリティ上の目的で使用できます。 ユーザーに通知し、エラーに登録されたデバイスを報告したり、採用またはオンボード プロセス中に従業員と通信したりするのに役立ちます。 登録通知は、Windows、Apple、および Android デバイスのパブリック プレビューで試すことができます。 この機能は、ユーザー主導の登録方法でのみサポートされます。

デバイスのセキュリティ

コンプライアンス ポリシーを [すべてのデバイス] グループに割り当てる

[ すべてのデバイス ] オプションが コンプライアンス ポリシー の割り当てに使用できるようになりました。 このオプションを使用すると、ポリシーのプラットフォームに一致するorganizationに登録されているすべてのデバイスにコンプライアンス ポリシーを割り当てることができます。 すべてのデバイスを含むMicrosoft Entra グループを作成する必要はありません。

[すべてのデバイス] グループを含めると、個々のデバイス グループを除外して、割り当てスコープをさらに絞り込むことができます。

Trend Micro – 新しいモバイル脅威防御パートナー

Intuneと統合されたモバイル脅威防御 (MTD) パートナーとして、Trend Micro Mobile Security をサービスとして使用できるようになりました。 Intuneで Trend MTD コネクタを構成することで、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

詳細については、以下を参照してください。

• Intune でのモバイル脅威防御の統合

Intune ポータル サイト Web サイトに表示される猶予期間の状態

Intune ポータル サイト Web サイトに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 指定した日付までにデバイスを更新しない場合、その状態は非準拠に変わります。 猶予期間の設定の詳細については、「 準拠していないアクションを使用してコンプライアンス ポリシーを構成する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• RingCentral, Inc. によるIntuneの RingCentral
• MangoApps,Work from Anywhere by MangoSpring, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 9 月 12 日の週

デバイス管理

Intuneに iOS/iPadOS 14 以降が必要になりました

Apple が iOS/iPadOS 16 をリリースすると、Microsoft IntuneとIntune ポータル サイトには iOS/iPadOS 14 以降が必要になります。 詳細については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。

Intune macOS 11.6 以降が必要になりました

Apple の macOS 13 Ventura、Microsoft Intune、ポータル サイト アプリ、Intune MDM エージェントのリリースでは、macOS 11.6 (Big Sur) 以降が必要になります。 詳細については、「Intuneでサポートされているオペレーティング システムとブラウザー」を参照してください。

2022 年 9 月 5 日の週

デバイス管理

リモート ヘルプ バージョン: 4.0.1.13 リリース

リモート ヘルプ 4.0.1.13 では、複数のセッションを同時に開くことができない問題に対処するための修正プログラムが導入されました。 修正により、アプリがフォーカスなしで起動され、キーボード ナビゲーションとスクリーン リーダーが起動時に動作しない問題も修正されました。

詳細については、「IntuneとMicrosoft Intuneでリモート ヘルプを使用する」を参照してください。

2022 年 8 月 29 日の週

アプリ管理

App SDK for Android Microsoft Intune更新

Intune App SDK for Android の開発者ガイドが更新されました。 更新されたガイドでは、次のステージが提供されます。

• 統合の計画
• MSAL の前提条件
• MAM の概要
• MAM 統合の要点
• マルチ ID
• アプリの構成
• アプリ参加機能

詳細については、「App SDK for Android のIntune」を参照してください。

2022 年 8 月 22 日の週

デバイス管理

テナント接続デバイスIntuneロールベースのアクセス制御 (RBAC) を使用する

Microsoft Intune 管理センターからテナント接続デバイスと対話するときに、ロールベースのアクセス制御 (RBAC) Intune使用できるようになりました。 たとえば、ロールベースのアクセス制御機関としてIntuneを使用する場合、Intuneのヘルプ デスク オペレーター ロールを持つユーザーには、Configuration Managerから割り当てられたセキュリティ ロールやその他のアクセス許可は必要ありません。 詳細については、「Intuneテナント接続クライアントのロールベースのアクセス制御」を参照してください。

2022 年 8 月 15 日の週 (サービス リリース 2208)

アプリ管理

Android の強力な生体認証の変更検出

エンド ユーザーが PIN ではなく指紋認証を使用できるようにする、Intuneのアクセス用 PIN の代わりに Android フィンガープリントが変更されています。 この変更により、エンド ユーザーに強力な生体認証の設定を要求できます。 また、強力な生体認証の変更が検出された場合は、エンド ユーザーにアプリ保護ポリシー (APP) PIN の確認を要求できます。 Android アプリ保護ポリシーは、Microsoft Intune管理センターで [アプリ>アプリ保護 ポリシー> Createポリシー>Android] を選択することで確認できます。 詳細については、「Microsoft Intuneの Android アプリ保護ポリシー設定」を参照してください。

Microsoft Intune アプリで Android (AOSP) で使用できるコンプライアンス以外の詳細

Android (AOSP) ユーザーは、Microsoft Intune アプリで非準拠の理由を表示できます。 これらの詳細では、デバイスが非準拠とマークされている理由について説明します。 この情報は、ユーザー関連付け Android (AOSP) デバイスとして登録されているデバイスの [デバイスの詳細] ページで入手できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Nexis Newsdesk Mobile by LexisNexis
• マイ ポータル by MangoApps (Android)
• Re:Work Enterprise by 9Folders, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの登録

管理センターからゼロタッチ登録Microsoft Intune構成する

これで、Microsoft Intune管理センターから Android ゼロタッチ登録を構成できるようになりました。 この機能を使用すると、ゼロタッチ アカウントをIntuneにリンクしたり、サポート情報を追加したり、ゼロタッチ対応デバイスを構成したり、プロビジョニングの追加をカスタマイズしたりできます。 管理センターからゼロタッチを有効にする方法の詳細については、「 Google Zero Touch を使用して登録する」を参照してください。

デバイス管理

Windows 10/11 デバイス コンプライアンスのカスタム設定が一般公開されました

次のカスタム機能のサポートが一般公開されています。

• PowerShell スクリプトを使用して Windows デバイスのカスタム コンプライアンス ポリシー設定をCreateします。
• ポータル サイト アプリに表示されるカスタム コンプライアンス規則と修復メッセージをCreateします。

適用対象:

• Windows 10 または 11

macOS シェル スクリプトとカスタム属性の内容を表示する

Intuneにスクリプトをアップロードした後、macOS シェル スクリプトとカスタム属性の内容を表示できます。 [デバイス>] macOS を選択すると、管理センター Microsoft Intuneシェル スクリプトとカスタム属性を表示できます。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

Android (AOSP) 企業デバイスで使用できるパスコードリモートアクションをリセットする

Android Open Source Project (AOSP) 企業デバイスのMicrosoft Intune管理センターからパスコードのリセット リモート アクションを使用できます。

リモート アクションの詳細については、次を参照してください。

• Intune でデバイスのパスコードをリセットまたは削除する
• Intune でデバイスをリモートで再起動する
• Intuneを使用してデバイスをリモートでロックする

適用対象:

• Android Open Source Project (AOSP)

デバイス構成

Android (AOSP) デバイスの証明書プロファイルのサポート

Android オープン ソース プロジェクト (AOSP) プラットフォームを実行する企業所有およびユーザーレス デバイスで、簡易証明書登録プロトコル (SCEP) 証明書プロファイル を使用できるようになりました。

カスタム ADMX および ADML 管理テンプレートのインポート、作成、管理

組み込みの ADMX テンプレートを使用するデバイス構成ポリシーを作成できます。 Microsoft Intune管理センターで、[デバイス>の構成]、[Create > Windows 10 > 以降] の [テンプレート>>] [管理用テンプレート] の順に選択します。

カスタムおよびサード パーティ/パートナーの ADMX テンプレートと ADML テンプレートをIntune管理センターにインポートすることもできます。 インポートしたら、デバイス構成ポリシーを作成し、ポリシーをデバイスに割り当て、ポリシーの設定を管理できます。

詳細については、次のページを参照してください。

• カスタム ADMX および ADML 管理テンプレートを Intune にインポートする
• 概要: Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成します。

適用対象:

• Windows 11
• Windows 10

Android Enterprise Wi-Fi デバイス構成プロファイルに HTTP プロキシを追加する

Android Enterprise デバイスでは、基本的な設定とエンタープライズ設定を使用して Wi-Fi デバイス構成プロファイルを作成できます。 Microsoft Intune管理センターで、[デバイス>の構成>]、[Android Enterprise>のフル マネージドCreate>専用]、[Corporate-Owned 仕事用プロファイル] の順>に選択します。

プロファイルを作成するときは、PAC ファイルを使用して HTTP プロキシを構成するか、設定を手動で構成できます。 organization内の各 Wi-Fi ネットワークに対して HTTP プロキシを構成できます。

プロファイルの準備ができたら、フル マネージド、Dedicated、Corporate-Owned Work Profile デバイスにこのプロファイルを展開できます。

構成できる Wi-Fi 設定の詳細については、「Microsoft Intuneの Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

iOS/iPadOS 設定カタログでは、宣言型デバイス管理 (DDM) がサポートされています

ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイスでは、設定を構成するときに、設定カタログで Apple の宣言型デバイス管理 (DDM) が自動的に使用されます。

• DDM を使用するためにアクションは必要ありません。 この機能は設定カタログに組み込まれています。
• 設定カタログ内の既存のポリシーに影響はありません。
• DDM で有効になっていない iOS/iPadOS デバイスでは、Apple の標準 MDM プロトコルが引き続き使用されます。

詳細については、次を参照してください:

• 宣言型デバイス管理を満たす (Apple の Web サイトを開く)
• Microsoft では、Apple 更新プログラムのIntune登録を簡略化します
• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する

適用対象:

• Apple ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイス

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログで使用できます。 管理センター Microsoft Intuneで、[デバイス>の構成>>Create macOS for platform >Settings catalog for profile type] を選択します。

新しい設定には、次のものが含まれます。

Microsoft AutoUpdate:

• 最新チャネル
• 最終カウントダウン タイマーの分数

制限事項:

• ユニバーサル コントロールを許可する

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

認証 >拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 型
• URL

認証 >拡張可能なシングル サインオン>拡張可能なシングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• パスワードの変更を許可する
• 資格情報バンドル ID ACL
• 資格情報の使用モード
• カスタム ユーザー名ラベル
• ユーザーのセットアップの遅延
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL に Kerberos アプリを含める
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 資格情報キャッシュの監視
• Kerberos のみを実行する
• 推奨される KDC
• 校長名
• パスワード変更 URL
• パスワード通知日数
• Password Req Complexity
• パスワード Req 履歴
• パスワード Req の長さ
• パスワード Req 最小年齢
• Password Req Text
• LDAP に TLS を要求する
• ユーザープレゼンスを要求する
• サイト コード
• ローカル パスワードの同期
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 型

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログには、新しい iOS/iPadOS 設定が用意されています。 管理センター Microsoft Intuneで、[デバイス>の構成>Create>iOS/iPadOS for platform >Settings catalog for profile type] を選択します。 以前は、これらの設定はテンプレートでのみ使用できます。

認証 >拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 型
• URL

認証 >拡張可能なシングル サインオン>拡張可能なシングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• 資格情報バンドル ID ACL
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 推奨される KDC
• 校長名
• ユーザープレゼンスを要求する
• サイト コード
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 型

システム構成 > ロック画面メッセージ:

• アセット タグ情報
• ロック画面脚注

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

適用対象:

• iOS/iPadOS

監視とトラブルシューティング

新しい非準拠デバイスと設定レポート

>レポートデバイス コンプライアンス>レポートには、新しい非準拠デバイスと設定organizationレポートがあります。 このレポート:

• 各非準拠デバイスをListsします。
• 非準拠デバイスごとに、デバイスが準拠していないコンプライアンス ポリシー設定が表示されます。

このレポートの詳細については、「 非準拠デバイスと設定レポート (組織)」を参照してください。

2022 年 8 月 1 日の週

デバイスのセキュリティ

Microsoft Tunnel Gateway サーバーでの UDP 接続の使用を無効にする

Microsoft Tunnel Servers による UDP の使用を無効にできるようになりました。 UDP の使用を無効にすると、VPN サーバーはトンネル クライアントからの TCP 接続のみをサポートします。 TCP 接続のみの使用をサポートするには、デバイスで一般公開バージョンの Microsoft TunnelクライアントアプリとしてのMicrosoft Defender for Endpointをトンネル クライアント アプリとして使用する必要があります。

UDP を無効にするには、 Microsoft Tunnel Gatewayの サーバー構成を作成または編集 し、 [UDP 接続を無効にする] という名前の新しいオプションのチェック ボックスをオンにします。

アプリ管理

Windows 一括アプリインストール用の企業ポータル サイト

Windows 用ポータル サイトでは、ユーザーが複数のアプリを選択して一括インストールできるようになりました。 Windows 用ポータル サイトの [アプリ] タブで、ページの右上隅にある複数選択ビュー ボタンを選択します。 次に、インストールする必要がある各アプリの横にあるチェック ボックスをオンにします。 次に、[選択したものをインストール] ボタンを選択してインストールを開始します。 選択したすべてのアプリは、ユーザーが各アプリを右クリックしたり、各アプリのページに移動したりする必要なく、同時にインストールされます。 詳細については、「デバイスにアプリをインストールして共有する」および「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

2022 年 7 月 25 日の週 (サービス リリース 2207)

デバイス管理

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始する

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始できるようになりました。 [デバイスの詳細] に移動します。 この機能は、Microsoft Intune アプリを介してユーザー関連付け (Android) AOSP デバイスとして登録されているデバイスで使用できます。

Mac でブートストラップ エスクローの状態を監視する

Microsoft Intune管理センターで、登録されている Mac のブートストラップ トークンエスクローの状態を監視します。 [Bootstrap token escrowed] (ブートストラップ トークンがエスクローされた) と呼ばれる Intune の新しいハードウェア プロパティは、ブートストラップ トークンが Intune でエスクローされたかどうかを報告します。 macOS のブートストラップ トークンのサポートの詳細については、「ブートストラップ トークン」を参照してください。

Android Enterprise デバイスの共通条件モードを有効にする

Android Enterprise デバイスの場合、共通条件モードという新しい設定を使用して、政府機関などの機密性の高い組織でのみ通常使用される一連のセキュリティ標準を昇格できます。

適用対象:

• Android 5.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

新しい設定である共通条件モードは、Android Enterprise (完全管理、専用、および会社所有の仕事用プロファイル) のデバイス制限テンプレートを構成するときに、[システム セキュリティ] カテゴリに表示されます。

共通条件モードが [必須] に設定されたポリシーを受け取るデバイスは、以下を含むもののこれらに限定されないセキュリティ コンポーネントを昇格させます。

• Bluetooth 長期キーの AES-GCM 暗号化
• Wi-Fi 構成ストア
• ソフトウェア更新プログラムの手動メソッドであるブートローダーのダウンロード モードをブロックする
• キーの削除時に追加のキーのゼロ化を義務付けます
• 認証されていない Bluetooth 接続を防止する
• FOTA 更新プログラムには 2048 ビットの RSA-PSS 署名が必要です

情報セキュリティ国際評価基準 (Common Criteria) に関する詳細については、以下をご覧ください。

• commoncriteriaportal.org での情報セキュリティ国際評価基準 (Common Criteria) への準拠
• Android 管理 API ドキュメントの CommonCriteriaMode
• samsungknox.com の Knox Deep Dive: 情報セキュリティ国際評価基準 (Common Criteria) モード

iOS/iPadOS および macOS で実行されている個々のデバイスで利用可能な新しいハードウェアの詳細

Microsoft Intune管理センターで、[デバイス>] [すべてのデバイス>] の順に選択し、一覧表示されているデバイスのいずれかを選択し、[ハードウェアの詳細] を開きます。 次の新しい詳細は、個々のデバイスの [ハードウェア] ウィンドウで利用できます。

• 製品名: デバイスの製品名 (など iPad8,12) を表示します。 iOS/iPadOS および macOS デバイスで利用できます。

詳細については、「Microsoft Intune を使用してデバイスの詳細を表示する」を参照してください。

適用対象:

• iOS/iPadOS、macOS

リモート ヘルプ バージョン: 4.0.1.12 リリース

リモート ヘルプ 4.0.1.12 では、認証されていないときに表示される "後でやり直す" メッセージに対処するために、さまざまな修正プログラムが導入されました。 修正プログラムには、自動更新機能の強化も含まれています。

詳細については、「Intuneでリモート ヘルプを使用する」を参照してください。

デバイスの登録

Intuneでは、iOS/iPadOS および macOS セットアップ アシスタントで最新の認証を使用した別のデバイスからのサインインがサポートされます

自動デバイス登録 (ADE) を行うユーザーは、別のデバイスからサインインすることで認証できるようになりました。 このオプションは、最新の認証を使用してセットアップ アシスタントを使用して登録する iOS/iPadOS デバイスと macOS デバイスで使用できます。 デバイス ユーザーに別のデバイスからのサインインを求める画面が設定アシスタントに埋め込まれ、登録中に表示されます。 ユーザーのサインイン プロセスの詳細については、「Intune ポータル サイト アプリの取得 (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device)」を参照してください。

Windows Autopilot デバイスでハードウェアの変更を検出して管理する

Microsoft Intune は、Autopilot 登録デバイスでハードウェアの変更を検出したときに警告を表示するようになりました。 管理センターで、影響を受けるすべてのデバイスを表示および管理できます。 また、影響を受けるデバイスを Windows Autopilot から削除し、ハードウェアの変更が考慮されるように再登録することもできます。

デバイス構成

設定カタログの新しい macOS Microsoft AutoUpdate (MAU) 設定

設定カタログでは、Microsoft AutoUpdate (MAU) (デバイス>構成>Create>macOS のプラットフォーム>の設定カタログのプロファイルの種類) の設定がサポートされています。

次の設定を使用できるようになりました。

Microsoft AutoUpdate:

• データ収集ポリシーを自動的に確認する
• 強制更新の数日前
• 遅延更新プログラム
• Office Insider メンバーシップを無効にする
• AutoUpdate を有効にする
• 更新プログラムのチェックを有効にする
• 拡張ログを有効にする
• 起動時にアプリを登録する
• キャッシュ サーバーを更新する
• 更新プログラム チャネル
• 更新チェック頻度 (分)
• アップデーターの最適化手法

この設定は、次のアプリケーションの基本設定を構成するために使用できます。

• ポータル サイト
• Microsoft AutoUpdate
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft リモート デスクトップ
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype for Business

設定カタログの詳細については、次のページを参照してください。

• Intune の設定カタログを使用して完了できるタスク
• Microsoft Intune で設定カタログを使用してポリシーを作成する

構成可能な Microsoft AutoUpdate の設定の詳細については、以下をご覧ください。

• 環境設定を使用して、Office for Mac のプライバシー コントロールを管理する - Office の展開。
• Microsoft AutoUpdate から更新の期限を設定します

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログには、新しい iOS/iPadOS 設定があります (デバイス>構成>Create>iOS/iPadOS for platform >Settings catalog for profile type)。

新しい設定には、次のものが含まれます。

ネットワーク > 携帯ネットワーク:

• 許可されたプロトコル マスク
• 国内ローミングで許可されるプロトコル マスク
• ローミングで許可されるプロトコル マスク
• 認証の種類
• 名前
• Password
• プロキシ サーバー ポート
• プロキシ サーバー
• Username

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

ユーザー エクスペリエンス > 通知:

• グループ化の種類
• プレビューの種類
• カー プレイで表示する

印刷 > エアプリント:

• 強制 TLS
• ポート

App Management > アプリ ロック:

• 自動ロックを無効にする
• デバイスのローテーションを無効にする
• 呼び出し音スイッチを無効にする
• スリープ解除ボタンを無効にする
• タッチを無効にする
• 音量ボタンを無効にする
• アシスト タッチを有効にする
• 色の反転を有効にする
• モノラル オーディオを有効にする
• 読み上げの選択を有効にする
• 音声コントロールを有効にする
• ナレーションを有効にする
• ズームを有効にする
• 補助タッチ
• 色を反転する
• 音声コントロール
• ナレーション
• 拡大/縮小

ネットワーク > ドメイン:

• Safari パスワードのオートフィル ドメイン

ネットワーク > ネットワーク使用状況ルール:

• アプリケーション ルール
• 携帯データ ネットワークを許可する
• ローミング携帯データ ネットワークを許可する
• アプリ識別子の一致

制限事項:

• アカウントの変更を許可する
• アクティビティの継続を許可する
• ゲーム センターのフレンドを追加できるようにする
• エア ドロップを許可する
• Air Print を許可する
• Air Print 資格情報ストレージを許可する
• Air Print iBeacon Discovery を許可する
• アプリの携帯データ ネットワークの変更を許可する
• アプリ クリップを許可する
• アプリのインストールを許可する
• アプリの削除を許可する
• Apple Personalized Advertising を許可する
• アシスタントを許可する
• アシスタント ユーザー生成コンテンツを許可する
• ロック中にアシスタントを許可する
• 自動修正を許可する
• 自動ロック解除を許可する
• アプリの自動ダウンロードを許可する
• Bluetooth の変更を許可する
• Bookstore を許可する
• Bookstore Erotica を許可する
• カメラを許可する
• 携帯プランの変更を許可する
• チャットを許可する
• クラウド バックアップを許可する
• クラウド ドキュメント同期を許可する
• クラウド キーチェーン同期を許可する
• クラウド フォト ライブラリを許可する
• クラウド プライベート リレーを許可する
• 連続パス キーボードを許可する
• 定義参照を許可する
• デバイス名の変更を許可する
• 診断の送信を許可する
• 診断送信の変更を許可する
• ディクテーションを許可する
• 制限の有効化を許可する
• Enterprise App Trust を許可する
• Enterprise Book バックアップを許可する
• Enterprise Book メタデータ同期を許可する
• コンテンツと設定の消去を許可する
• ESIM の変更を許可する
• 明示的なコンテンツを許可する
• ファイル ネットワーク ドライブへのアクセスを許可する
• ファイルの USB ドライブへのアクセスを許可する
• デバイスの検索を許可する
• "友達を探す" を許可する
• "友達を探す" の変更を許可する
• 指紋でロック解除できるようにする
• 指紋の変更を許可する
• ゲーム センターを許可する
• ローミング時にグローバル バックグラウンド フェッチを許可する
• ホストのペアリングを許可する
• アプリ内購入を許可する
• iTunes を許可する
• キーボード ショートカットを許可する
• 一覧表示されたアプリ バンドル ID を許可する
• ロック画面コントロール センターを許可する
• ロック画面の通知ビューを許可する
• ロック画面の今日の表示を許可する
• メール プライバシー保護を許可する
• 管理対象アプリ クラウド同期を許可する
• 管理対象が非管理対象の連絡先を書き込むことを許可する
• マルチプレイヤー ゲームを許可する
• ミュージック サービスを許可する
• ニュースを許可する
• NFC を許可する
• 通知の変更を許可する
• 管理対象から非管理対象へのオープンを許可する
• 非管理対象から管理対象へのオープンを許可する
• OTAPKI 更新を許可する
• ペアリングされたウォッチを許可する
• ロック中に通帳を許可する
• パスコードの変更を許可する
• パスワードの自動入力を許可する
• パスワード近接要求を許可する
• パスワード共有を許可する
• 個人用ホットスポットの変更を許可する
• フォト ストリームを許可する
• ポッドキャストを許可する
• 予測キーボードを許可する
• 新しいデバイスへの近接セットアップを許可する
• 無線サービスを許可する
• リモート画面の観察を許可する
• Safari を許可する
• スクリーンショットを許可する
• 共有デバイス一時セッションを許可する
• 共有ストリームを許可する
• スペル チェックを許可する
• スポットライト インターネットの結果を許可する
• システム アプリの削除を許可する
• UI アプリのインストールを許可する
• UI 構成プロファイルのインストールを許可する
• 非管理対象が管理対象の連絡先を読み取ることを許可する
• ペアリングされていない外部ブートを回復するのを許可する
• 信頼されていない TLS プロンプトを許可する
• USB 制限付きモードを許可する
• ビデオ会議を許可する
• 音声ダイヤルを許可する
• VPN の作成を許可する
• 壁紙の変更を許可する
• 自律単一アプリ モードで許可されるアプリ ID
• ブロックされたアプリ バンドル ID
• 適用されたソフトウェア更新プログラムの遅延
• Air Drop を非管理対象にする
• Air Play 発信要求ペアリング パスワードを強制する
• Air Print Trusted TLS 要件を強制する
• 冒涜的表現のアシスタント フィルターを強制する
• 自動入力の前に認証を強制する
• 日付と時刻の自動設定を強制する
• クラスルームの自動参加を強制する
• クラスを離れるためにクラスルームにアクセス許可の要求を強制する
• クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
• ソフトウェア更新プログラムの強制遅延
• 暗号化されたバックアップを強制する
• iTunes ストアのパスワード入力を強制する
• 広告追跡の制限を強制する
• デバイスにディクテーションのみを強制する
• デバイスに翻訳のみを強制する
• Watch の手首検出を強制する
• WiFi 電源をオンにする
• 許可されたネットワークのみに WiFi を強制する
• 管理対象の台紙を要求する
• Safari に Cookie を承諾する
• Safari にオートフィルを許可する
• Safari Allow JavaScript
• Safari に Popups を許可する
• Safari に不正警告を強制する

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログ (デバイス>構成>Create>プラットフォームの macOS プロファイルの種類の>設定カタログ) で使用できます。

新しい設定には、次のものが含まれます。

システム構成 > システム拡張機能:

• リムーバブル システム拡張機能

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

システム構成 > システム拡張機能:

• ユーザー オーバーライドを許可する
• 許可されるシステム拡張機能の種類
• 許可されるシステム拡張機能
• 許可されるチーム識別子

Intuneでの設定カタログ プロファイルの構成の詳細については、「設定カタログを使用してポリシーをCreateする」を参照してください。

適用対象:

• macOS

フィルター作成時の [デバイスのプレビュー] の新しい検索機能

管理センター Microsoft Intune、フィルターを作成し、アプリとポリシー (デバイス> フィルター Create) を割り当てるときにこれらのフィルター>を使用できます。

フィルターの作成時に、[デバイスのプレビュー] を選択して、フィルター条件に一致する登録済みデバイスのリストを表示できます。 [デバイスのプレビュー] では、デバイス名、OS バージョン、デバイス モデル、デバイス メーカー、プライマリ ユーザーのユーザー プリンシパル名、デバイス ID を使用して、リストを検索することもできます。

フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

2022 年 7 月 18 日の週

デバイス管理

WMI の問題のデバッグに役立つ新しいイベント ビューアー

診断を収集するIntuneのリモート アクションが拡張され、Windows Management Instrumentation (WMI) アプリの問題に関する詳細が収集されました。

新しいイベント ビューアーには、次のものが含まれます。

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」 を参照してください。

2022 年 7 月 4 日の週

デバイスの管理

デバイス モデルごとのエンドポイント分析スコア

エンドポイント分析で、デバイス モデル別のスコア が表示されるようになりました。 これらのスコアで、管理者が環境内のデバイス モデル間でユーザー エクスペリエンスをコンテキスト化できるようになります。 モデルごとのスコアとデバイスごとのスコアは、どこからでも作業 レポートを含むすべてのエンドポイント分析レポートで利用できます。

監視とトラブルシューティング

[診断の収集] を使用して、Windows の迅速な更新に関する詳細を収集する

Intuneの [収集] 診断に対するリモート アクションによって、デバイスに展開する Windows の迅速な更新プログラムの詳細が収集されるようになりました。 この情報は、迅速な更新に関する問題のトラブルシューティングに使用できます。

収集される新しい詳細は次のとおりです。

• ファイル: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate

2022 年 6 月 27 日の週 (サービス リリース 2206)

アプリ管理

Web ポータル サイトのエンタープライズ フィードバック ポリシー

現在ログインしているユーザーの Microsoft 365 エンタープライズ フィードバック ポリシーに対して、Microsoft 365 Apps管理センターを介してフィードバック設定を使用できるようになりました。 この設定は、フィードバックを有効にできるかどうか、または Web ポータル サイトでユーザーに対して無効にする必要があるかどうかを判断するために使用されます。 詳細については、「ポータル サイト アプリと Microsoft Intune アプリのフィードバック設定を構成する」を参照してください。

Android Enterprise 専用デバイスと Android (AOSP) デバイスを使用したアプリ保護ポリシー

Microsoft Entra ID共有モードと Android (AOSP) デバイスに登録されているIntune管理された Android Enterprise 専用デバイスは、アプリ保護ポリシーを受け取ることができ、他の Android デバイスの種類とは別に対象にすることができます。 詳細は、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。 Android Enterprise 専用デバイスと Android (AOSP) の詳細については、「Android Enterprise 専用デバイス」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティー マネージャー管理者ロールを割り当てられたユーザーは、モバイル脅威防御コネクタの設定を変更できます

組み込みの Endpoint Security Manager 管理者ロールのアクセス許可が更新されました。 ロールに、モバイル脅威防御カテゴリの変更アクセス許可が [はい] に設定されました。 この変更により、このロールを割り当てられたユーザーは、テナントのモバイルの脅威保護コネクタ (MTD コネクタ) の設定を変更するアクセス許可を持ちます。 以前は、このアクセス許可は [いいえ] に設定されていました。

この今後の変更に関する前の通知を見逃した場合は、テナントのエンドポイント セキュリティー マネージャー ロールが割り当てられているユーザーを確認することをお勧めします。 MTD コネクタ設定を編集するアクセス許可がない場合は、ロールのアクセス許可を更新するか、Mobile Threat Defense の読み取りアクセス許可のみを含むカスタム ロールを作成します。

組み込みのエンドポイント セキュリティー マネージャー ロールのアクセス許可の完全な一覧を表示します。

Android Enterprise フル マネージド デバイスの証明書プロファイルのサポートが強化されました

Android Enterprise フル マネージド (デバイス所有者) デバイスに対する PKCS および SCEP 証明書プロファイルのサポートが強化されました。 これで、これらのデバイスの証明書のサブジェクト代替名 (SAN) として、Intuneデバイス ID 変数である CN={{DeviceID}} を使用できるようになりました。

デバイス構成

Android (AOSP) デバイスの証明書プロファイルのサポート

Android オープン ソース プロジェクト (AOSP) プラットフォームを実行する企業所有のユーザーレス デバイスで、次の証明書プロファイルを使用できるようになりました。

• 信頼された証明書プロファイル
• PKCS 証明書プロファイル

Windows 10/11 デバイス上の DFCI プロファイルの新しい設定

Windows 10/11 デバイスでは、デバイス ファームウェア構成インターフェイス (DFCI) プロファイル (デバイス>構成>Create Windows 10>以降のプラットフォーム >テンプレート> プロファイルの種類のデバイス ファームウェア構成インターフェイス) を作成できます。

DFCI プロファイルを使用すると、Intune は DFCI ファームウェア レイヤーを使用して管理コマンドを UEFI (Unified Extensible Firmware Interface) に渡すことができます。 このファームウェア層により、悪意のある攻撃に対する構成の回復性が高まります。 DFCI では、マネージド設定が淡色表示され、エンド ユーザーによる BIOS の制御も制限されます。

構成できる新しい設定があります。

• マイクとスピーカー:

  • マイク

• ラジオ:

  • Bluetooth
  • Wi-Fi

• ポート:

  • USB タイプ A

• スリープ解除設定:

  • LAN でスリープ解除
  • 電源でスリープ解除

詳細については、次のリソースを参照してください。

• Microsoft Intune で Windows デバイスのデバイスのファームウェア構成インターフェイス プロファイルを使用する
• Microsoft Intune のデバイス ファームウェア構成インターフェイス (DFCI) プロファイル設定

適用対象:

• Windows 10 または 11

Android Enterprise デバイスにカスタム サポート情報を追加する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます (デバイス>構成>Create>Android Enterprise> フルマネージド、専用、および企業所有の仕事用プロファイルのプラットフォーム>のプロファイルの種類>のデバイス制限カスタム サポート情報)。

構成できる新しい設定がいくつかあります。

• 短いサポート メッセージ: ユーザーが管理設定を変更しようとすると、システム ダイアログ ウィンドウにユーザーに表示される短いメッセージを追加できます。
• 長いサポート メッセージ: [設定]>[セキュリティ]>[デバイス管理アプリ]>[デバイス ポリシー] に表示される長いメッセージを追加できます。

既定では、OEM の既定のメッセージが表示されます。 カスタム メッセージを展開すると、Intune の既定のメッセージも展開されます。 デバイスの既定の言語のカスタム メッセージを入力しないと、Intune に既定のメッセージが表示されます。

たとえば、英語とフランス語のカスタム メッセージを展開するとします。 ユーザーは、デバイスの既定の言語をスペイン語に変更します。 カスタム メッセージをスペイン語に展開していないため、Intune に既定のメッセージが表示されます。

Intune の既定のメッセージは、エンドポイント マネージャー管理センター (設定>言語と地域) 内のすべての言語に対して翻訳されます。 [言語] 設定値は、Intune で使用される既定の言語を決定します。 既定では、英語に設定されています。

ポリシーでは、次の言語のメッセージをカスタマイズできます。

• チェコ語
• ドイツ語
• 英語 (米国)
• スペイン語 (スペイン)
• フランス語 (フランス)
• ハンガリー語
• インドネシア語
• イタリア語
• 日本語
• 韓国語
• オランダ語
• ポーランド語
• ポルトガル語 (ブラジル)
• ポルトガル語 (ポルトガル)
• ロシア語
• スウェーデン語
• トルコ語
• 簡体字中国語
• 繁体字中国語

構成できる上記の設定とその他の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 7.0 以降
• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)
• Android Enterprise の会社所有の仕事用プロファイル (COPE)

Wi-Fi プロファイルを作成して Android AOSP デバイスに展開する

Wi-Fi プロファイルの構成を作成し、Android AOSP デバイスに展開します。

これらの設定の詳細については、「Microsoft Intune の Android (AOSP) デバイス向け Wi-Fi 設定の追加」を参照してください。

適用対象:

• Android (AOSP)

設定カタログは、Windows および macOS デバイスで一般公開 (GA) されています

設定カタログは一般公開 (GA) されています。 詳細については、以下をご覧ください。

• 設定カタログを使用して設定を構成する
• Intune の設定カタログを使用して完了できるタスク

適用対象:

• macOS
• Windows 10 または 11

グループ ポリシー分析の移行機能はソブリン クラウドをサポートしています

グループ ポリシー分析を使用して、オンプレミス GPO をインポートし、これらの GPO を使用して設定カタログ ポリシーを作成できます。 以前は、この移行機能はソブリン クラウドではサポートされていませんでした。

移行機能がソブリン クラウドでサポートされるようになりました。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• Microsoft エンドポイント マネージャーのグループ ポリシー分析を使用して、オンプレミスの GPO を分析する
• Microsoft エンドポイント マネージャーでインポートした GPO を使用して設定 カタログ ポリシーを作成する

iOS/iPadOS プラットフォームが設定カタログにあります

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 iOS/iPadOS プラットフォームと一部の設定が設定カタログ (デバイス>構成>Create>iOS/iPadOS for platform >Settings catalog for profile type) で使用できるようになりました。

新しい設定には、次のものが含まれます。

アカウント > Caldav:

• Card DAV アカウントの説明
• Card DAV ホスト名
• カード DAV パスワード
• カード DAV ポート
• カード DAV プリンシパル URL
• Card DAV での SSL の使用
• Card DAV ユーザー名

アカウント > Carddav:

• Card DAV アカウントの説明
• Card DAV ホスト名
• カード DAV パスワード
• カード DAV ポート
• カード DAV プリンシパル URL
• Card DAV での SSL の使用
• Card DAV ユーザー名

AirPlay:

• 許可リスト

• Password

• プロファイルの削除パスワード:

• 削除パスワード

プロキシ > グローバル HTTP プロキシ:

• プロキシ キャプティブ ログイン許可
• プロキシ PAC フォールバックの許可
• プロキシ PAC URL
• プロキシ パスワード
• プロキシ サーバー
• プロキシ サーバー ポート
• プロキシの種類
• プロキシ ユーザー名

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

ネットワーク > ドメイン:

• メール ドメイン

印刷 > エアプリント:

• プリンター
• IP アドレス
• リソース パス

制限事項:

• アクティビティの継続を許可する
• ゲーム センターのフレンドを追加できるようにする
• エア ドロップを許可する
• 自動ロック解除を許可する
• カメラを許可する
• クラウド ドキュメント同期を許可する
• クラウド キーチェーン同期を許可する
• クラウド フォト ライブラリを許可する
• クラウド プライベート リレーを許可する
• 診断の送信を許可する
• ディクテーションを許可する
• コンテンツと設定の消去を許可する
• 指紋でロック解除できるようにする
• ゲーム センターを許可する
• マルチプレイヤー ゲームを許可する
• ミュージック サービスを許可する
• パスコードの変更を許可する
• パスワードの自動入力を許可する
• パスワード近接要求を許可する
• パスワード共有を許可する
• リモート画面の観察を許可する
• スクリーンショットを許可する
• スポットライト インターネットの結果を許可する
• 壁紙の変更を許可する
• 適用されたソフトウェア更新プログラムの遅延
• クラスルームの自動参加を強制する
• クラスを離れるためにクラスルームにアクセス許可の要求を強制する
• クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
• ソフトウェア更新プログラムの強制遅延
• Safari にオートフィルを許可する

セキュリティ > パスコード:

• 簡易パスコードを許可する
• 強制 PIN
• 失敗した最大試行回数
• 最大猶予期間
• 最大アイドル時間
• PIN の最大有効日数
• 最小複合文字数
• 最小長
• PIN 履歴
• 英数字パスコードを要求する

ユーザー エクスペリエンス > 通知:

• アラートの種類
• バッジが有効になっています
• バンドル識別子
• 重要な通知が有効になっています
• 通知が有効になっています
• ロック画面に表示する
• 通知センターに表示する
• サウンドが有効になっています

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

Windows デバイスのワイヤード ネットワーク デバイス構成プロファイルで TEAP 認証を使用する

Windows デバイスでは、拡張認証プロトコル (EAP) (デバイス>の構成>Create Windows 10>以降のプロファイルの種類のプラットフォーム >用の有線>ネットワーク) をサポートする有線ネットワーク デバイス構成プロファイルを作成できます。

プロファイルの作成時に、トンネル拡張認証プロトコル (TEAP) を使用できます。

ワイヤード (有線) ネットワークの詳細については、「Microsoft Intune の macOS デバイスと Windows デバイスでワイヤード (有線) ネットワーク設定を追加して使用する」を参照してください。

適用対象:

• Windows 11
• Windows 10

パスワード、PIN、またはパターンを使用して、設定した時間後に Android Enterprise 企業所有の仕事用プロファイル (COPE) デバイスで作業プロファイルのロックを解除する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます (デバイス>の構成>Create>Android Enterprise> フルマネージド、専用、および企業所有の仕事用プロファイルで、プラットフォームのプロファイル>の種類に関するデバイス制限)。

Android Enterprise COPE デバイスでは、作業プロファイル パスワード>要求されるロック解除頻度の設定を構成できます。 この設定を使用して、ユーザーが強力な認証方法を使用して作業プロファイルのロックを解除する必要があるまでの時間を選択します。

この設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 8.0 以降
• Android Enterprise の会社所有の仕事用プロファイル (COPE)

設定カタログでの新しい macOS 設定

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成>Create>macOS for platform > プロファイルの種類の設定カタログ)。

アカウント > Caldav:

• Cal DAV アカウントの説明
• Cal DAV ホスト名
• Cal DAV パスワード
• Cal DAV ポート
• Cal DAV プリンシパル URL
• Cal DAV での SSL の使用
• Cal DAV ユーザー名

アカウント > Carddav:

• Card DAV アカウントの説明
• Card DAV ホスト名
• カード DAV パスワード
• カード DAV ポート
• カード DAV プリンシパル URL
• Card DAV での SSL の使用
• Card DAV ユーザー名

ユーザー エクスペリエンス > Dock:

• Dock Fixup オーバーライドを許可する
• 自動非表示
• 自動非表示は不変
• コンテンツは不変
• ダブルクリック動作
• ダブルクリック動作は不変
• 大きいサイズ
• アニメーションの起動
• アニメーションの起動は不変
• 倍率
• 倍率のサイズは不変
• 倍率は不変
• MCX Dock の特別なフォルダー
• 影響の最小化
• 影響の最小化は不変
• アプリケーションへの最小化は不変
• アプリケーションへの最小化
• Orientation
• 常設アプリ
• 常設のその他
• 位置は不変
• インジケーターの表示は不変
• プロセス インジケーターの表示
• 最新情報の表示
• 最新情報の表示は不変
• サイズは不変
• 静的アプリ
• 静的のみ
• 静的のその他
• タイル サイズ
• ウィンドウのタブ付け
• ウィンドウのタブ付けは不変

システム構成>省エネルギー:

• デスクトップ電源
• デスクトップ スケジュール
• スタンバイ時に FV キーを破棄する
• ノート PC バッテリ電源
• ノート PC 電源
• スリープが無効になりました

システム構成 > システム ログ:

• プライベート データを有効にする

システム構成 > タイム サーバー:

• タイム サーバー
• タイム ゾーン

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

セキュリティ > パスコード:

• 簡易パスコードを許可する
• 次回認証時に変更する
• 強制 PIN
• 失敗した最大試行回数
• 最大猶予期間
• 最大アイドル時間
• PIN の最大有効日数
• 最小複合文字数
• 最小長
• ログイン リセットの失敗までの時間 (分)
• PIN 履歴
• 英数字パスコードを要求する

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

macOS 設定カタログの新しい Microsoft Office と Microsoft Outlook の基本設定

設定カタログでは、Microsoft Office と Microsoft Outlook の基本設定 (デバイス>構成>Create>macOS for platform >Settings catalog for profile type) がサポートされています。

次の設定を使用できます。

Microsoft Office > Microsoft Office:

• ユーザー コンテンツを分析するエクスペリエンスと機能を許可する
• ユーザー コンテンツをダウンロードするエクスペリエンスと機能を許可する
• マクロに Visual Basic プロジェクトの変更を許可する
• オプションの接続エクスペリエンスを許可する
• Visual Basic マクロでシステム API を使用できるようにする
• バックグラウンド アクセシビリティ チェック
• 開くためのローカル ファイルの既定値 - 保存
• 診断データ レベル
• クラウド フォントを無効にする
• サード パーティ ストア アドイン カタログを無効にする
• ユーザー アンケートを無効にする
• 自動サインインを有効にする
• すべての Visual Basic マクロを実行できないようにする
• Visual Basic マクロで外部ダイナミック ライブラリを使用できないようにする
• Visual Basic マクロで従来の MacScript を使用できないようにする
• Visual Basic マクロでパイプを使用して通信できないようにする
• アプリ起動時にテンプレート ギャラリーを表示する
• [新機能の表示] ダイアログ
• Visual Basic マクロ ポリシー

Microsoft Office > Microsoft Outlook:

• 一致するメール アドレスなしで S/MIME 証明書を許可する
• 許可されたメール ドメイン
• 既定のドメイン名
• 天気の場所を初期値にする
• [転送しない] オプションを無効にする
• 天気の場所の自動更新を無効にする
• メールの署名を無効にする
• OLM ファイルへのエクスポートを無効にする
• OLM および PST ファイルからのインポートを無効にする
• 迷惑メール設定を無効にする
• Microsoft 365 暗号化オプションを無効にする
• Microsoft Teams 会議サポートを無効にする
• S/MIME を無効にする
• Skype for Business 会議サポートを無効にする
• 埋め込み画像をダウンロードする
• 新しい Outlook を有効にする
• [このコンピューター上] のフォルダーを非表示にする
• 作業ウィンドウで [Outlook の使用を開始する] コントロールを非表示にする
• [新しい Outlook をパーソナライズする] ダイアログを非表示にする
• S/MIME 証明書が考慮される順序を設定する
• テーマを設定する
• 週の最初の曜日を指定する
• Office 365 の自動検出のリダイレクトを信頼する
• Office 365 の代わりにドメイン ベースの自動検出を使用する

設定カタログの詳細については、次のリンクに移動してください。

• Intune の設定カタログを使用して完了できるタスク
• Microsoft Intune で設定カタログを使用してポリシーを作成する

構成可能な Microsoft Office と Outlook の設定の詳細については、以下をご覧ください。

• 環境設定を使用して、Office for Mac のプライバシー コントロールを管理する - Office の展開。
• Outlook for Mac の環境設定を設定する - Office の展開

適用対象:

• macOS

デバイス管理

macOS デバイスをリモートで再起動およびシャットダウンする

デバイス アクションを使用して、macOS デバイスをリモートで再起動またはシャットダウンできます。 これらのデバイス アクションは、macOS 10.13 以降を実行しているデバイスで使用できます。

詳細については、「Microsoft Intune を使用してデバイスを再起動する」を参照してください。

Android (AOSP) 企業デバイスのその他のリモート アクション

Android Open Source Project (AOSP) 企業デバイスの場合は、すぐに、Microsoft Intune管理センターの再起動とリモート ロックから、より多くのリモート アクションを使用できます。

これらの機能の詳細については、以下を参照してください。

• Intune でデバイスをリモートで再起動する
• Intuneを使用してデバイスをリモートでロックする

適用対象:

• Android Open Source Project (AOSP)

マルチセッション VM のWindows 11ユーザー構成のサポートがパブリック プレビュー中

次の操作を行うことができます:

• [設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 11

注:

Windows 10 マルチセッション ビルドのユーザー構成のサポートは、今年後半に提供される予定です。

詳細については、「Microsoft Intune とともに Azure Virtual Desktop マルチセッションを使用するためのガイドライン」をご覧ください。

マネージド デバイスのグループ メンバーシップを表示する

Intuneの [デバイス] ワークロードの [モニター] セクションでは、マネージド デバイスのすべてのMicrosoft Entra グループのグループ メンバーシップを表示できます。 [グループ メンバーシップ] を選択するには、Microsoft エンドポイント マネージャー管理センターにサインインし、[デバイス>] [すべてのデバイス>] でデバイス >グループ メンバーシップを選択します。 詳細については、「デバイス グループ メンバーシップ レポート」を参照してください。

証明書レポートの改善に関する詳細

デバイスと証明書プロファイルの証明書の詳細を表示するときに表示されるIntuneを変更しました。 レポートを表示するには、Microsoft エンドポイント マネージャー管理センターの [デバイス>モニター>証明書] に>移動します。

改善されたレポート ビューでは、次の情報Intune表示されます。

• 有効な証明書
• 過去 30 日以内に失効した証明書
• 過去 30 日以内に有効期限が切れた証明書

レポートには、無効になった証明書やデバイス上に存在しなくなった証明書の詳細が表示されなくなりました。

デバイスの登録

macOS デバイスでブートストラップ トークンを利用する

ブートストラップ トークンのサポート (以前はパブリック プレビュー) は、GCC High、Microsoft Azure Government Cloud テナントなどのすべての Microsoft Intune のお客様に一般提供されるようになりました。 Intune では、macOS バージョン 10.15 以降を実行している登録済みデバイスでのブートストラップ トークンの使用がサポートされます。

ブートストラップ トークンを使用すると、管理者以外のユーザーが MDM アクセス許可を増やし、IT 管理者に代わって特定のソフトウェア機能を実行できます。ブートストラップ トークンは、次の場合にサポートされます。

• 監視対象デバイス (Intune では、ユーザーが承認したすべての登録が対象)
• Apple 自動デバイス登録を介して Intune に登録されたデバイス

Intune でのブートストラップ トークンのしくみの詳細については、「macOS デバイスの登録を設定する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Condeco by Condeco Limited
• RICOH Spaces by Ricoh Digital Services

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 6 月 13 日の週

デバイスのセキュリティ

Red Hat Enterprise Linux 8.6 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.6 を使用できます。 RHEL 8.5 のサポートに必要な要件を超える他の要件はありません。

RHEL 8.5 のように、Linux カーネルに ip_tables モジュールが存在するかどうかをチェックする 準備ツール (mst-readiness) が使用できます。 既定では、RHEL 8.6 では ip_tables モジュールは読み込まれません。

モジュールをロードしない Linux サーバーについては、モジュールをすぐにロードし、起動時に自動的にロードするように Linux サーバーを構成する手順を示しました。

2022 年 6 月 6 日の週

アプリ管理

アプリ保護ポリシーを介したフォト ライブラリ データ転送のサポート

これで、サポートされているアプリケーション ストレージ サービスとして フォト ライブラリを含められるようになりました。 Intune 内の [ユーザーが選択したサービスからデータを開くことができるようにする]、または [ユーザーがデータを選択したサービスに保存できるようにする] で [フォト ライブラリ] を選択すると、管理対象アカウントがデバイスのフォト ライブラリから iOS および Android プラットフォームの管理対象アプリに [受信] および [送信] を許可できるようになります。 管理センター Microsoft Intuneで、[アプリ>アプリ保護ポリシー> Createポリシー] を選択します。 iOS/iPadOS または Android のいずれかを選択します。 この設定は、データ保護手順の一環として、特にポリシー管理アプリで使用できます。 詳細については、「 データ保護」を参照してください。

UI の改善により、Android の登録が利用できることを示しています。必須ではありません

Android アプリのポータル サイトのアイコンを更新し、ユーザーがデバイス登録を利用できるが必須ではない場合を認識しやすくしました。 新しいアイコンは、デバイス登録の可用性が [使用可能] に設定され、管理センターにプロンプトが表示されないシナリオ (テナント管理者>のカスタマイズ>Createまたはポリシー>設定の編集) に表示されます。

変更内容には、次のものが含まれます。

• [デバイス] 画面で、登録されていないデバイスの横に赤い感嘆符が表示されなくなります。
• [デバイスの詳細] 画面で、登録メッセージの横に赤い感嘆符が表示されなくなります。 代わりに、情報 (i) アイコンが表示されます。

変更のスクリーンショットを表示するには、「Intune エンド ユーザー アプリの UI 更新プログラム」 を参照してください。

デバイス管理

アプリケーションとドライバの Windows Update 互換性レポート(パブリック プレビュー)

パブリック プレビューでは、Windows のアップグレードまたは更新プログラムの準備に役立つ 2 つの Windows Update 互換性レポートを利用できるようになりました。 これらのレポートは、現在、2022 年 11 月 30 日に 廃止を予定 している Desktop Analytics でカバーされているギャップを埋めるものです。

Windows 10から 11 へのアップグレードを計画する場合、または最新の Windows 機能更新プログラムをインストールする場合は、次のレポートを参考にしてください。

• Windows 機能更新プログラムデバイス準備レポート (プレビュー) - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連する互換性リスクに関するデバイスごとの情報を提供します。
• Windows 機能更新プログラムの互換性リスク レポート (プレビュー) - このレポートには、選択したバージョンの Windows について、組織全体の上位互換性リスクの概要が表示されます。 このレポートを使用して、organization内のデバイスの最大数に影響する互換性リスクを把握できます。

これらのレポートは、次の週にテナントにロールアウトされます。 まだ表示されていない場合は、1 日後あたりでもう一度ご確認ください。 前提条件、ライセンス、およびこれらのレポートで使用できる情報については、「Windows Update 互換性レポート」 を参照してください。

2022 年 5 月 30 日の週 (サービス リリース 2205)

アプリ管理

iOS ポータル サイトに必要な最小バージョン

2022 年 6 月 1 日から、サポートされる iOS ポータル サイトの最小バージョンは v5.2205 になります。 ユーザーが v5.2204 以前を実行している場合は、ログイン時に更新を求められます。 [App Store を使用してアプリのインストールをブロックする] デバイス制限設定を有効にしている場合は、この設定を使用する関連するデバイスに更新をプッシュする必要があります。 それ以外の場合、アクションは必要ありません。 ヘルプデスクがある場合は、ポータル サイト アプリを更新するプロンプトを認識させます。 ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータル サイト アプリを受け取ります。 詳細については、「Intune ポータル サイト」を参照してください。

デバイスの所有権が [個人] から [企業] に変更されると、プッシュ通知が自動的に送信されます

iOS/iPad および Android デバイスで、デバイスの所有権の種類が [個人] から [企業] に変更されたときにプッシュ通知が自動的に送信されるようになりました。 通知は、デバイス上のポータル サイト アプリを介してプッシュされます。

この変更に伴い、この通知動作を管理するために従来使用されていたポータル サイト構成設定が削除されました。

iOS/iPadOS の通知には 3 月のポータル サイトまたはそれ以降が必要です

Intune の 5 月 (2205) のサービス リリースでは、iOS/iPadOS の通知に対するサービス側の更新が行われています。これを利用するには、3 月のポータル サイト アプリ (バージョン 5.2203.0) またはそれ以降が必要です。 iOS/iPadOS ポータル サイトプッシュ通知を生成できる機能を使用している場合は、プッシュ通知を引き続き受け取るために、ユーザーが iOS/iPadOS ポータル サイトを更新する必要があります。 機能に他の変更はありません。 詳細については、「ポータル サイト アプリを更新する」を参照してください。

PKG タイプのインストーラー ファイルのアップロードによる macOS LOB アプリの展開が一般公開されました

PKG タイプのインストーラー ファイルを Intune にアップロードすることで、macOS 基幹業務 (LOB) アプリを展開できるようになりました。 この機能はパブリック プレビューから外れ、現在一般公開されています。

管理センターから macOS LOB アプリMicrosoft Intune追加するには、[アプリ]>[macOS>] [基幹業務アプリの追加]> の順に選択します。 また、macOS LOB アプリをデプロイするために macOS 用のApp Wrapping Toolは不要になります。 詳細については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

[管理対象アプリ] ウィンドウでのレポート エクスペリエンスの向上

[管理対象アプリ] ウィンドウが更新され、デバイスの管理対象アプリの詳細表示が改善されました。 プライマリ ユーザーとデバイス上の他のユーザーのマネージド アプリの詳細の表示を切り替えたり、ユーザーなしでデバイスのアプリの詳細を表示したりできます。 生成されたアプリの詳細は、レポートが最初に読み込まれたときにデバイスのプライマリ ユーザーを使用して表示されるか、プライマリ ユーザーが存在しない場合はプライマリ ユーザーなしで表示されます。 詳細については、「管理対象アプリ レポート」を参照してください。

MSfB ライセンスと Apple VPP ライセンス

ユーザーから Intune ライセンスを削除しても、ビジネス向け Microsoft Store または Apple VPP を通じて付与されたアプリ ライセンスは取り消されなくなります。 詳細については、「Microsoft Intuneを使用してビジネス向け Microsoft Storeから購入したボリューム アプリを管理する方法」、iOS アプリ ライセンスの取り消し、Microsoft Intune ライセンスに関するページを参照してください。

ライセンス未付与のユーザーのレポート

Intuneは、ライセンスが付与されていない場合、すべてのIntuneレポートからユーザーを削除しなくなります。 ユーザーがMicrosoft Entra IDから削除されるまで、Intuneは最も一般的なシナリオでユーザーを報告し続けます。 関連情報については、「Intune レポート」を参照してください。

デバイスのセキュリティ

Intuneのエンドポイント セキュリティ攻撃面縮小ポリシーの新しいデバイス制御プロファイル

2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一環として、Intuneのエンドポイント セキュリティ用の攻撃面縮小ポリシー用の新しいデバイス制御プロファイル テンプレートをリリースしました。 このプロファイルは、Windows 10 以降のプラットフォームで以前に提供されていた同名のプロファイルを置き換えます。

この置き換えにより、作成できるのは新しいプロファイルのインスタンスのみとなります。 ただし、以前に作成した古いプロファイル構造を使用するすべてのプロファイルは、使用、編集、デプロイに使用できます。

新しいデバイス制御プロファイル:

• 元のプロファイルで使用できたすべての設定が含まれます。
• 以前のプロファイルでは使用できない 5 つの新しい設定が導入されています。

新しい 5 つの設定は、USB デバイスなどのリムーバブル デバイスに重点を置いたものです。

• リムーバブル デバイスのインストールを禁止する
• WPD デバイス: 読み取りアクセスを拒否する
• WPD デバイス: 読み取りアクセスを拒否する (ユーザー)
• WPD デバイス: 書き込みアクセスを拒否する
• WPD デバイス: 書き込みアクセスを拒否する (ユーザー)

デバイス構成

設定した時間の経過後に、パスワード、PIN、パターンを使用して Android Enterprise デバイスのロックを解除する

Android Enterprise デバイスでは、デバイス設定を管理するデバイス制限構成プロファイルを作成できます (デバイス>の構成>Create>Android Enterprise> フルマネージド、専用、および企業所有の仕事用プロファイルで、プラットフォームのプロファイル>の種類に関するデバイス制限)。

[デバイスのパスワード] と [仕事用プロファイルのパスワード] には、新しい [必要なロック解除頻度] 設定があります。 ユーザーが強力な認証方法 (パスワード、PIN、パターン) を使用してデバイスのロックを解除しなければならなくなるまでの時間を選択します。 次のようなオプションがあります。

• 最後の PIN、パスワード、パターンのロック解除から 24 時間: ユーザーが最後に強力な認証方法を使用してデバイスまたは仕事用プロファイルのロックを解除した後、画面は 24 時間ロックされます。
• デバイスの既定値 (既定値): デバイスの既定の時刻を使用して画面がロックされます。

2.3.4. 高度なパスコード管理 (Android の Web サイトを開く)

構成できる設定の一覧については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 8.0 以降
• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)
• Android Enterprise の会社所有の仕事用プロファイル (COPE)

設定カタログを使用して Windows 11 デバイスにユニバーサル プリント ポリシーを作成する

多くの組織は、ユニバーサル プリントを使用してプリンター インフラストラクチャをクラウドに移行しています。

Intune管理センターでは、設定カタログを使用して、ユニバーサル印刷ポリシー (デバイス>構成>Create Windows 10>以降のプロファイルタイプ>の [プリンター プロビジョニング] のプラットフォーム>設定カタログ) を作成できます。 ポリシーを展開すると、ユーザーはユニバーサル プリントの登録済みプリンター一覧からプリンターを選択します。

詳細については、「Microsoft Intune でユニバーサル プリント ポリシーを作成する」を参照してください。

適用対象:

• Windows 11

新しい macOS 設定 (設定 カタログ)

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成>Create>macOS for platform > プロファイルの種類の設定カタログ)。

アカウント > アカウント:

• ゲスト アカウントを無効にする
• ゲスト アカウントを有効にする

ネットワーク > ファイアウォール:

• 署名済みを許可する
• 署名済みアプリを許可する
• ログ収集を有効にする
• ログ オプション

ペアレンタル コントロール > ペアレンタル コントロールの時間制限:

• 家族向けコントロールが有効になっている
• 時間制限

プロキシ > ネットワーク プロキシの構成:

• プロキシ
• 例外の一覧
• フォールバックを許可
• FTP を有効にする
• FTP パッシブ
• FTP ポート
• FTP プロキシ
• Gopher を有効にする
• Gopher ポート
• Gopher プロキシ
• HTTP を有効にする
• HTTP ポート
• HTTP プロキシ
• HTTPS を有効にする
• HTTPS ポート
• HTTPS プロキシ
• プロキシの自動構成を有効にする
• プロキシの自動構成 URL 文字列
• プロキシ キャプティブ ログイン許可
• RTSP を有効にする
• RTSP ポート
• RTSP プロキシ
• SOCKS を有効にする
• SOCKS ポート整数
• SOCKS プロキシ

セキュリティ > スマート カード:

• スマート カードを許可する
• 証明書信頼を確認する
• スマート カードを適用する
• ユーザーごとに 1 枚のカード
• トークンの削除アクション
• ユーザーペアリング

ソフトウェア更新プログラム:

• プレリリース インストールを許可する
• 自動チェックが有効
• 自動ダウンロード
• アプリの更新プログラムを自動的にインストールする
• macOS の更新プログラムを自動的にインストールする
• 構成データのインストール
• 重要な更新プログラムのインストール
• ソフトウェア更新プログラムを制限して管理者によるインストールを必須にする

ユーザー エクスペリエンス > Screensaver ユーザー:

• アイドル時間
• Module Name/モジュール名
• モジュールのパス

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• F2 Manager Intune (cBrain A/S 提供)
• F2 Touch Intune (Android) (cBrain A/S 提供)
• Microsoft Lists (Android) (Microsoft 提供)
• Microsoft Lens - PDF スキャナー (Microsoft 提供)
• Diligent Boards (Diligent Corporation 提供)
• Secure Contacts (Provectus Technologies GmbH 提供)
• My Portal by MangoApps (MangoSpring Inc 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス管理

テナントに接続されたデバイスの [ソフトウェア更新プログラム] ページ

テナントに接続されたデバイス用の新しい [ソフトウェア更新プログラム] ページがあります。 このページには、デバイス上のソフトウェア更新プログラムの状態が表示されます。 更新プログラムについて、正常にインストールされたもの、失敗したもの、割り当て済みだがまだインストールされていないものを確認できます。 更新プログラムの状態のタイムスタンプを使用すると、トラブルシューティングに役立ちます。 詳細については、「Tenant attach: 管理センターのソフトウェア更新プログラム」 を参照してください。

iOS/iPadOS での App Sync のMicrosoft Defender for Endpoint サポート

この機能を使用する前に、Microsoft Defender for Endpoint プレビューをオプトインする必要があります。 オプトインするには、 にお問い合わせください mdatpmobile@microsoft.com。

Microsoft Defender for Endpointを Mobile Threat Defense アプリケーションとして使用する場合は、iOS/iPadOS デバイスからIntuneからアプリケーション インベントリ データを要求するように Defender for Endpoint を構成できます。 次の 2 つの設定を使用できるようになりました。

• [iOS デバイスのアプリ同期を有効にする]: [オン] に設定すると、Microsoft Defender for Endpointは脅威分析のために使用するIntuneから iOS アプリケーションのメタデータを要求できます。 iOS デバイスは、MDM に登録されている必要があり、デバイスのチェックイン中に更新されたアプリ データが提供されます。

• 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する: この設定は、アプリケーション インベントリ データを制御します。 Intuneは、Defender for Endpoint がアプリ データを同期し、アプリ インベントリリストを要求するときに、このデータをMicrosoft Defender for Endpointと共有します。

  [オン] に設定すると、Defender for Endpoint は、個人所有の iOS/iPadOS デバイスのIntuneからアプリケーションの一覧を要求できます。 この一覧には、Intuneを介してデプロイされたアンマネージド アプリとアプリが含まれます。

  [オフ] に設定すると、アンマネージド アプリに関するデータは提供されません。 Intune は、Intune を介して展開されるアプリのデータを共有します。

仕事用プロファイルを設定した会社所有の Android Enterprise デバイスでの廃止のサポート

これで、Microsoft Intune管理センターの [管理者の削除] アクションを使用して、Android Enterprise 企業所有の仕事用プロファイル デバイスから、すべての企業アプリ、データ、ポリシーを含む仕事用プロファイルを削除できるようになりました。 管理センター> Intune [デバイス] ウィンドウ [すべてのデバイス>] > に移動し、廃止するデバイスの名前を選択し、[廃止] を選択します。

[廃止] を選択すると、そのデバイスは Intune の管理対象から登録解除されます。 ただし、個人プロファイルに関連付けられているすべてのデータとアプリは、デバイスにそのまま残ります。 詳細については、「Microsoft Intune を使用してデバイスを廃止またはワイプする」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の登録プロファイルの機能強化

Intune でパブリック プレビューとして以前にリリースされた、セットアップ アシスタントの 2 つのスキップ ウィンドウが、Intune で一般公開されるようになりました。 これらの画面は通常、Apple 自動デバイス登録 (ADE) の間にセットアップ アシスタントに表示されます。 Intune で登録プロファイルを設定している間に、画面の可視性を構成できます。 Intuneサポートされている画面設定は、デバイス登録プロファイルの [セットアップ アシスタント] タブで使用できます。新しいスキップ ウィンドウは次のとおりです。

• ウィンドウ名: 概要

  • iOS/iPadOS 13 以降で使用できます。
  • このウィンドウは、既定では ADE 中にセットアップ アシスタントに表示されます。

• ウィンドウ名: Apple Watch による自動ロック解除

  • macOS 12 以降で使用できます。
  • このウィンドウは、既定では ADE 中にセットアップ アシスタントに表示されます。

パブリック プレビュー リリースからの機能に変更はありません。

Windows Autopilot から共同管理に登録する

Intune でデバイス登録を構成して共同管理を有効にできます。これは、Windows Autopilot プロセス中に行われます。 この動作で、Configuration Manager と Intune の間で調整された方法により、ワークロードの管理機関が指示されます。

デバイスが Autopilot 登録状態ページ (ESP) ポリシーの対象になっている場合、デバイスは Configuration Manager を待機します。 Configuration Manager クライアントは、サイトをインストールして登録し、実稼働の共同管理ポリシーを適用します。 その後、Autopilot ESP が続行されます。

詳細については、「Autopilot を使用して共同管理に登録する方法」を参照してください。

2022 年 5 月 9 日の週

デバイスのセキュリティ

Defender for Endpoint を使用したセキュリティ管理が一般的に利用可能です

Microsoft IntuneとMicrosoft Defender for Endpoint (MDE) チームは、Defender for Endpoint セキュリティ設定管理の一般提供についてお知らせします。 この一般提供の一環として、ウイルス対策、エンドポイントの検出と応答、ファイアウォールの規則のサポートが一般公開されました。 この一般提供は、Windows Server 2012 R2 以降、およびクライアントWindows 10およびWindows 11に適用されます。 将来的には、プレビュー容量で他のプラットフォームとプロファイルがサポートされる予定です。

詳細については、「Microsoft Intuneを使用してデバイスのMicrosoft Defender for Endpointを管理する」を参照してください。

デバイス管理

リモート ヘルプに対する昇格の機能強化

セッションの開始時に、昇格のアクセス許可は割り当てられなくなります。 昇格のアクセス許可は、JIT (Just-In-Time) アクセスが要求された場合にのみ適用されるようになりました。 ツール バーのボタンを選択すると、アクセス権が要求されます。 昇格アクセス許可が割り当てられると、共有子のサインアウト動作が次のように変更されます。

• 管理者 (ヘルパー) がリモート ヘルプ セッションを終了した場合、ユーザー (sharer) はログオフされません。
• 共有者がセッションを終了しようとすると、続行するとログオフするように求められます。
• 共有者がデバイスのローカル管理者の場合、ヘルパーはアクセス UAC プロンプト オプションを使用できません。共有者は、自分のプロファイルで管理者特権での操作を実行するように指示できるからです。 リモート ヘルプの詳細については、「リモート ヘルプを使用する」を参照してください。

2022 年 5 月 2 日の週

アプリ管理

マネージド Google Play アプリの優先度を更新する

専用、フルマネージド、または職場プロファイルを持つ企業所有の Android Enterprise デバイスで、マネージド Google Play アプリの更新優先度を設定できます。 [更新の優先度] アプリ設定として [延期] を選択すると、新しいバージョンのアプリが検出されてから 90 日間待ってからアプリの更新プログラムをインストールします。 詳細は、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。

2022 年 4 月 25 日の週 (サービス リリース 2204)

アプリ管理

更新されたアプリ構成ポリシーの一覧

Intune でアプリ構成ポリシーの一覧が変更されました。 この一覧に [割り当て済み] 列は含まれなくなります。 アプリ構成ポリシーが割り当てられているかどうかを確認するには、管理センター>の [アプリ>構成ポリシー>] Microsoft Intune [ポリシー>のプロパティ] を選択します。

Android デバイスのパスワードの複雑さ

Intune でデバイス ロックが必須設定が拡張され、値 (複雑度 - 低、複雑度 - 中、複雑度 - 高) が含まれます。 デバイス ロックが最小パスワード要件を満たしていない場合は、 警告、 データのワイプ、またはエンド ユーザーによるマネージド アプリ内のマネージド アカウントへのアクセスを ブロック できます。 この機能は、Android 11 以降で動作するデバイスを対象としています。 Android 11 以前で動作するデバイスの場合、複雑度の値を [低]、[中]、[高] に設定すると、既定では [複雑度 - 低] が想定される動作に設定されます。 詳細については、「Microsoft Intuneの Android アプリ保護ポリシー設定」を参照してください。 管理

Win32 アプリ ログ コレクションの機能強化

Intune 管理拡張機能を介した Win32 アプリ ログの収集は、Windows 10 デバイス診断プラットフォームに移行され、ログの収集時間が 1 ～ 2 時間かかっていたのが 15 分に短縮されました。 また、ログ サイズを 60 mb から 250 mb に増やしました。 パフォーマンスの向上に加えて、アプリ ログは、各デバイスの [デバイス 診断 モニター] アクションとマネージド アプリ モニターで使用できます。 診断を収集する方法については、「Windows デバイスから診断を収集する」および「Intune を使用した Win32 アプリのインストールのトラブルシューティング」を参照してください。

デバイス管理

Windows 10 と Windows 11 Enterprise のマルチセッションが一般公開されました

既存の機能に加えて、次のことができるようになりました。

• プラットフォームに Windows 10、Windows 11、Windows Server 選択したときに、エンドポイント セキュリティのプロファイルを構成できます。
• 米国政府コミュニティ (GCC) High および DoD の Azure Government Cloud で作成された Windows 10 および Windows 11 Enterprise マルチセッション VM を管理できます。

詳細については、「Windows 10/11 Enterprise マルチセッション リモート デスクトップ」を参照してください。

Microsoft Intune アプリで Android (AOSP) ユーザーが使用できるデバイス アクション

AOSP デバイス ユーザーは、Microsoft Intune アプリで登録済みデバイスの名前を変更できるようになりました。 この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。 Android (AOSP) 管理の詳細については、「企業所有のユーザーに関連する Android (AOSP) デバイスの Intune 登録を設定する」を参照してください。

Andriod 企業所有の職場用プロファイルとフル マネージド (COBO および COPE) デバイスでのオーディオ アラートのサポート

デバイス アクション [紛失したデバイスサウンドを再生 する] を使用して、紛失または盗難にあった Android Enterprise 企業所有の仕事用プロファイルとフル マネージド デバイスを見つけるのに役立つアラーム サウンドをデバイス上でトリガーできるようになりました。 詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

デバイスの登録

Apple 自動デバイス登録用の新しい登録プロファイルの設定 (パブリック プレビュー)

Apple 自動デバイス登録で使用できる 2 つの新しいセットアップ アシスタント設定が追加されました。 各設定は、登録中に表示されるセットアップ アシスタント ウィンドウの可視性を制御します。 セットアップ アシスタント ウィンドウは、既定では登録中に表示されるため、非表示にする場合は、Microsoft Intune で設定を調整する必要があります。

新しいセットアップ アシスタントの設定は次のとおりです。

• 作業の開始 (プレビュー): 登録中に [作業の開始] ウィンドウを表示または非表示にします。 iOS/iPadOS 13 以降を実行しているデバイスに適用されます。
• Apple Watch による自動ロック解除 (プレビュー): 登録中に [Apple Watch で Mac のロックを解除する] ウィンドウを表示または非表示にします。 macOS 12 以降を実行しているデバイスに適用されます。

自動デバイス登録のセットアップ アシスタント設定を構成するには、Microsoft Intune で iOS/iPadOS 登録プロファイルまたは macOS 登録プロファイルを作成します。

デバイスのセキュリティ

iOS 用の Tunnel クライアント アプリとして Microsoft Defender for Endpoint の一般公開を開始

iOS/iPadOS 上で Microsoft Tunnel をサポートする Microsoft Defender for Endpoint の使用のプレビューが終了し、一般公開が開始されました。 一般提供に伴い、新しいバージョンの iOS 用 Defender for Endpoint アプリが App Store から入手可能になっているので、ダウンロードして展開できます。 iOS 用の Tunnel クライアント アプリとしてプレビュー バージョンを使用している場合は、最新の更新プログラムと修正プログラムの利点を得るために、間もなく iOS 用の最新の Defender for Endpoint アプリにアップグレードすることをお勧めします。

2022 年 8 月 30 日の時点で、接続の種類は Microsoft Tunnel という名前です。

このリリースでは、6 月末までに、スタンドアロン Tunnel クライアント アプリと、iOS 用 Tunnel クライアント アプリとしての Defender for Endpoint のプレビュー バージョンの両方が非推奨となり、サポートから削除されます。 非推奨になった直後に、スタンドアロン Tunnel クライアント アプリは機能しなくなり、Microsoft Tunnel への接続のオープンはサポートされなくなります。

iOS 用のスタンドアロン トンネル アプリを引き続き使用している場合は、Microsoft Defender for Endpoint アプリへの移行を計画してください。 スタンドアロン アプリのサポートが終了する前に移行し、Tunnel に接続するためのサポートが機能しなくなります。

攻撃面の減少ルール プロファイル

テナント接続済みデバイスの 攻撃面の減少ルール (ConfigMgr) プロファイルがパブリック プレビューになりました。 詳細については、「テナントのアタッチ: 攻撃面の減少ポリシーを作成して展開する」を参照してください。

デバイス構成

エンドポイント セキュリティ プロファイルは、フィルターをサポートします

フィルター使用時の新機能がいくつかあります。

• Windows デバイスのデバイス構成プロファイルを作成すると、ポリシーごとのレポートに、デバイスとユーザーのチェック状態(>デバイス構成>既存のポリシーを選択) にレポート情報が表示されます。

  [レポート表示] を選択すると、レポートには [割り当てフィルター] 列が表示されます。 この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。

• エンドポイント セキュリティ ポリシーは、フィルターをサポートします。 そのため、エンドポイント セキュリティ ポリシーを割り当てるときは、フィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

• 新しいエンドポイント セキュリティ ポリシーを作成すると、新しいデバイス構成プロファイル レポートが自動的に使用されます。 ポリシーごとのレポートを見ると、[ 割り当てフィルター] 列もあります ([デバイス>の構成]> 既存のエンドポイント セキュリティ ポリシー >の表示レポートを選択します)。 この列を使用して、フィルターがポリシーに正常に適用されたかどうかを判断します。

フィルターの詳細については、以下を参照してください。

• アプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• フィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧

適用対象:

• すべてのプラットフォーム

以下には適用されません。

• 管理用テンプレート (Windows 10/11)
• デバイス ファームウェア構成インターフェイス (DFCI) (Windows 10/11)
• OEMConfig (Android エンタープライズ)

グループ ポリシー分析でインポートした GPO を使用して設定カタログ ポリシーをCreateする

グループ ポリシー分析を使用すると、グループ ポリシー オブジェクト (GPO) をインポートして、Microsoft Intune でサポートされている設定を確認できます。 また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

分析を実行すると、移行の準備ができている設定が表示されます。 インポートした設定を使用して設定カタログ プロファイルを作成する [移行 ] オプションがあります。 次に、このプロファイルをグループに割り当てることができます。

詳細については、「Microsoft Intuneでインポートした GPO を使用して設定カタログ ポリシーをCreateする」を参照してください。

適用対象:

• Windows 11
• Windows 10

Windows デバイスの新しいワイヤード (有線) ネットワーク デバイス構成プロファイル

Windows 10/11 デバイス (デバイス>構成>Create Windows 10>以降のプラットフォーム>用の新しい有線ネットワーク デバイス構成プロファイルがありますプロファイルの種類に対する有線>ネットワーク)。

このプロファイルを使用して、認証、EAP の種類、サーバーの信頼性など、一般的なワイヤード (有線) ネットワーク設定を構成します。 構成できる設定の詳細については、「Microsoft Intune の Windows デバイスのワイヤード (有線) ネットワーク設定の追加」を参照してください。

適用対象:

• Windows 11
• Windows 10

管理用テンプレートと設定カタログの "ADMX_" ポリシー CSP 設定が Windows Professional エディションに適用されます

"ADMX_" で始まる Windows ポリシー CSP 設定は、Windows Professional エディションを実行している Windows デバイスに適用されます。 以前は、Windows Professional エディションを実行するデバイスでは、これらの設定は [該当なし] と表示されていました。

管理用テンプレートと設定カタログを使用して、ポリシーでこれらの "ADMX_" 設定を構成し、デバイス (デバイス>の構成>Create Windows 10>以降のプラットフォーム>のテンプレート>設定カタログまたは管理用テンプレートまたはプロファイルの種類) にポリシーを展開できます。

この一連の "ADMX_" 設定を使用するには、Windows 10/11 デバイスに次の更新プログラムをインストールする必要があります。

• Windows 11: 2022 年 3 月 28 日 — KB5011563 (OS ビルド 22000.593) プレビュー

• Windows 10 (20H1、20H2、21H1、21H2): 2022 年 3 月 22 日 — KB5011543 (OS ビルド 19042.1620、19043.1620、19044.1620) プレビュー

これらの機能の詳細については、次を参照してください。

• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• 設定カタログを使用して Windows と macOS のデバイスで設定を構成する
• モバイル デバイス管理のブログ投稿における最新のグループ ポリシー設定のパリティ

Windows Professional エディションをサポートするすべての ADMX 設定の一覧を表示するには、Windows ポリシー CSP 設定に移動します。 "ADMX_" で始まる設定では、Windows Professiona エディションがlサポートされます。

適用対象:

• Windows 11
• Windows 10

設定カタログでの新しい macOS 設定

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成>Create>macOS for platform > プロファイルの種類の設定カタログ)。

アカウント > モバイル アカウント:

• 安全なトークン認証バイパスを依頼する
• ログイン時に作成
• 有効期限切れ 削除 不要な秒数
• 作成時の警告
• 警告 作成時 許可 許可しない

App Management > 自律シングル アプリ モード:

• バンドル識別子
• Team 識別子

App Management > NS 拡張機能管理:

• 許可される拡張機能
• 拒否された拡張点
• 拒否された拡張機能

アプリ ストア:

• ソフトウェア更新プログラムの通知を無効にする
• ストア ソフトウェア更新プログラムのみを制限する
• restrict-store-disable-app-adoption

認証 > ディレクトリ サービス:

• AD マルチ ドメイン認証の許可
• AD マルチ ドメイン認証許可フラグ
• AD ログイン時にモバイル アカウントを作成する
• AD ログイン フラグでモバイル アカウントを作成する
• AD の既定のユーザー シェル
• AD の既定のユーザー シェル フラグ
• AD ドメイン管理者グループの一覧
• AD ドメイン管理者グループ リスト フラグ
• AD Force Home Local
• AD Force Home Local Flag
• AD Map GGID 属性
• AD Map GGID 属性フラグ
• AD Map GID 属性
• AD Map GID 属性フラグ
• AD マップ UID 属性
• AD マップ UID 属性フラグ
• AD マウント スタイル
• AD 名前空間
• AD 名前空間フラグ
• AD 組織単位
• AD パケット暗号化
• AD パケット暗号化フラグ
• AD パケット署名
• AD パケット署名フラグ
• AD 優先 DC サーバー
• AD 優先 DC サーバー フラグ
• AD 制限 DDNS
• AD 制限 DDNS フラグ
• AD 信頼変更パス間隔日数
• AD 信頼変更パス間隔日数フラグ
• AD Windows UNC パスを使用する
• AD Windows UNC パス フラグを使用する
• MA フラグ作成前の AD 警告ユーザー
• クライアント ID
• 説明
• Password
• ユーザー名

認証 > 識別:

• プロンプト
• メッセージを表示する

ログイン > ログイン ウィンドウログイン項目:

• ログイン項目の抑制を無効にする

メディア管理ディスクの書き換え:

• 書き換えサポート

ペアレンタル コントロール > 保護者による制御アプリケーションの制限:

• 家族向けコントロールが有効になっている

ペアレンタル コントロール > 保護者によるコントロールのコンテンツ フィルター:

• Allowlist が有効になりました
• Allowlist のフィルター
• Blocklist のフィルター
• サイト Allowlist
• Address
• ページ タイトル
• コンテンツ フィルターを使用する

ペアレンタル コントロール > ペアレンタルコントロール辞書:

• 保護者による制限

ペアレンタル コントロール > ペアレンタル コントロール ゲーム センター:

• GK 機能アカウントの変更が許可されている

システム構成 > ファイル プロバイダー:

• 属性を要求するためにマネージド ファイル プロバイダーを許可する

システム構成 > Screensaver:

• パスワードを要求する
• パスワードの遅延を要求する
• ログイン ウィンドウのアイドル時間
• ログイン ウィンドウ モジュールのパス

ユーザー エクスペリエンス > Finder:

• 書き換え禁止
• 接続の禁止
• 取り出しの禁止
• フォルダーへの移動の禁止
• デスクトップに外付けハード ドライブを表示する
• デスクトップにハード ドライブを表示する
• デスクトップにマウントされたサーバーを表示する
• デスクトップにリムーバブル メディアを表示する
• 空のごみ箱で警告する

ユーザー エクスペリエンス > 管理メニューの追加:

• 空港
• バッテリー
• Bluetooth
• 時計
• CPU
• 遅延秒数
• 表示される内容
• 取り出す
• FAX
• HomeSync
• iChat
• インク
• IrDA
• 最大待機時間 (秒)
• PCCard
• PPP
• PPPoE
• リモート デスクトップ
• スクリプト メニュー
• スペース
• 同期
• テキスト入力
• TimeMachine
• ユニバーサル アクセス
• User
• 容量
• VPN
• WWAN

ユーザー エクスペリエンス > 通知:

• アラートの種類
• バッジが有効になっています
• 重要な通知が有効になっています
• 通知が有効になっています
• ロック画面に表示する
• 通知センターに表示する
• サウンドが有効になっています

ユーザー エクスペリエンス > タイム マシン:

• 自動バックアップ
• すべてのボリュームをバックアップする
• バックアップ サイズ MB
• スキップ システムのバックアップ
• 基本パス
• モバイル バックアップ
• パスをスキップする

Xsan:

• San 認証方法

Xsan > Xsan の基本設定:

• DLC を拒否する
• マウントを拒否する
• マウントのみ
• DLC を優先する
• DLC を使用する

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

App Management > 関連付けられたドメイン:

• 直接ダウンロードを有効にする

ネットワーク > コンテンツ キャッシュ:

• キャッシュの削除を許可する
• 個人用キャッシュを許可する
• キャッシュの共有を許可する
• 自動アクティブ化
• テザリング キャッシュを自動的に有効にする
• キャッシュの制限
• データ パス
• テザリング キャッシュを拒否する
• アラートを表示する
• 起動したままにする
• 範囲をリッスンする
• リッスン範囲のみ
• 仲間と親でリッスンする
• ローカル サブネットのみ
• ログ クライアント ID
• 親選択ポリシー
• 父母
• ピア フィルター範囲
• ピア リッスン範囲
• ピア ローカル サブネットのみ
• ポート
• パブリック範囲

制限事項:

• アクティビティの継続を許可する
• ゲーム センターのフレンドを追加できるようにする
• エア ドロップを許可する
• 自動ロック解除を許可する
• カメラを許可する
• クラウド アドレス帳を許可する
• クラウド ブックマークを許可する
• クラウド カレンダーを許可する
• クラウド デスクトップとドキュメントを許可する
• クラウド ドキュメント同期を許可する
• クラウド キーチェーン同期を許可する
• クラウド メールを許可する
• クラウド メモを許可する
• クラウド フォト ライブラリを許可する
• クラウド プライベート リレーを許可する
• クラウド アラームを許可する
• コンテンツ キャッシュを許可する
• 診断の送信を許可する
• ディクテーションを許可する
• コンテンツと設定の消去を許可する
• 指紋でロック解除できるようにする
• ゲーム センターを許可する
• iTunes のファイル共有を許可する
• マルチプレイヤー ゲームを許可する
• ミュージック サービスを許可する
• パスコードの変更を許可する
• パスワードの自動入力を許可する
• パスワード近接要求を許可する
• パスワード共有を許可する
• リモート画面の観察を許可する
• スクリーンショットを許可する
• スポットライト インターネットの結果を許可する
• 壁紙の変更を許可する
• 強制フィンガープリント タイムアウト
• 適用されたソフトウェア更新プログラムの遅延
• 適用されたソフトウェア更新プログラムのメジャー OS 遅延インストール遅延
• 強制ソフトウェア更新プログラムのマイナー OS 遅延インストール遅延
• 適用されたソフトウェア更新プログラムの OS 以外の遅延インストールの遅延
• クラスルームの自動参加を強制する
• クラスを離れるためにクラスルームにアクセス許可の要求を強制する
• クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
• アプリ ソフトウェア更新プログラムの強制遅延
• メジャー ソフトウェア更新プログラムの強制遅延
• ソフトウェア更新プログラムの強制遅延
• Safari にオートフィルを許可する

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

2022 年 4 月

アプリ管理

マネージド macOS デバイスで DMG 型アプリケーションをアンインストールする (パブリック プレビュー)

アンインストール割り当ての種類を使用すると、マネージド macOS デバイス上の DMG 型アプリケーションをMicrosoft Intuneから削除できます。 macOS DMG アプリは、Microsoft Intune管理センターで [アプリ>] macOS macOS>アプリ (.DMG)。 詳細については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

デバイスの管理

デバイス診断フォルダー構造の更新

Intune Windows デバイス診断データ が更新された形式でエクスポートされるようになりました。 更新された形式では、収集されたログは収集されたデータと一致するように名前が付けられ、複数のファイルが収集されるとフォルダーが作成されます。 以前の形式では、zip ファイルは、その内容を識別しない番号付きフォルダーのフラット構造を使用しました。

この診断ログ更新プログラムを利用するには、デバイスで次のいずれかの更新プログラムをインストールする必要があります:

• Windows 11 - KB5011563
• Windows 10 - KB5011543

これらの更新プログラムは、2022 年 4 月 12 日の Windows Update を通じて入手できます。

プレミアム アドオンのMicrosoft Intune

Microsoft Intuneでは、IT 管理者がプレミアム アドオン機能を特定するのに役立つ、新しい一元化されたエクスペリエンスが導入されています。 これらの機能は、Microsoft Intuneで利用できる別のライセンス コストに対して追加できます。 最初のプレミアム アドオンはリモート ヘルプです。

Intune のプレミアム アドオンは、[テナント管理]>[プレミアム アドオン] の下にあります。 サマリー ブレードには、リリースされたすべてのプレミアム アドオン、簡単な説明、およびアドオンの状態が表示されます。 各アドオンの状態は、[アクティブ] または [試用または購入が可能]として表示できます。 プレミアム アドオン機能は、グローバル管理者と課金管理者がプレミアム アドオンの試用版を開始したり、ライセンスを購入したりするために使用できます。

プレミアム アドオンの詳細については、「Intune でプレミアム アドオン機能を使用する」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティ ポリシーのための新しいプロファイル テンプレートと設定の構造

設定カタログにある設定形式を使用する新しい エンドポイント セキュリティ プロファイル テンプレート のリリースを開始しました。 新しくなった各プロファイル テンプレートには、置き換わる以前のプロファイルと同じ設定が含まれる一方で、次の機能強化が行われます:

• 設定名は Windows CSP 名と一致します: ほとんどの場合、新しいプロファイルの各設定名は、設定が構成する CSP の名前と一致します。 ただし、Intune UI では、設定名を読みやすくするために、その名前にスペースを追加しました。 たとえば、[USB 接続の許可] という名前のIntune UI の設定では、AllowUSBConnection という名前の CSP が構成されます。

• 設定オプションは、Windows CSP のオプションに合わせて調整されます: 設定のオプションは、Windows CSP で説明およびサポートされているオプション、及び追加の 1 オプションとともに、直接一致するようになりました。 追加では、[未構成] オプションが含まれています。 設定が [未構成] に設定されている場合、そのIntuneプロファイルはその設定をアクティブに管理しません。 プロファイルが設定 [未構成] のアクティブな構成から移動するように変更されると、Intuneはデバイスでその設定の構成のアクティブな適用を停止します。

• 設定のガイダンスは、Windows CSP から取得されます: Intune UI で見つかった設定に関する情報は、Windows CSP コンテンツから直接取得されます。詳細については、関連する CSP のドキュメントを開くリンク、またはその CSP を含むコンテンツ ページを参照してください。 CSP は、設定の動作を定義および管理します。

新しいプラットフォームとプロファイル テンプレートをポリシーの種類で使用できる場合、同じ名前の以前のプロファイルを使用して新しいプロファイルを作成できなくなります。 代わりに、新しいプロファイルで新しいプロファイルと設定の形式を使用する必要があります。 最終的には、以前のプロファイルが新しいプロファイル形式への変換でサポートされます。 変換が可能になるまでは、既存のプロファイルを使用、編集、デプロイできます。

次のプロファイル テンプレートが新しい設定形式で使用できるようになりました:

ポリシーの種類	プラットフォーム	プロファイル (テンプレート) 名
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows セキュリティ エクスペリエンス
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows Defender ウイルス対策
ウイルス対策	Windows 10、Windows 11 および Windows Server	Windows Defender ウイルス対策の除外
ファイアウォール	Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォール
ファイアウォール	Windows 10、Windows 11 および Windows Server	Microsoft Defender ファイアウォール ルール
エンドポイントの検出および応答	Windows 10、Windows 11 および Windows Server	エンドポイントの検出および応答
攻撃面の縮小	Windows 10 以降	攻撃面の減少ルール
攻撃面の縮小	Windows 10 以降	エクスプロイト保護

2022 年 3 月

アプリ管理

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• インクスクリーン LLC によるIntune用 CAPTOR™

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

iOS/iPadOS の通知には、3 月ポータル サイト更新プログラムが必要です

iOS/iPadOS ポータル サイトプッシュ通知を生成できる機能を使用している場合は、ユーザーが 2022 年 3 月または 4 月に iOS/iPadOS ポータル サイトを確実に更新する必要があります。 機能に他の変更はありません。 Intune の 5 月 (2205) のサービス リリースで、iOS/iPadOS 通知のサービス側の更新を行う予定です。 ポータル サイト更新プログラムはサービスの変更前にリリースされるため、ほとんどのユーザーは更新されたアプリを既に持っており、影響を受けることはありません。 ただし、すべてのユーザーが引き続きorganizationから送信されたプッシュ通知を受け取れるように、この変更をユーザーに通知する必要があります。 詳細については、「ポータル サイト アプリを更新する」を参照してください。

ポータル サイトアプリと Microsoft Intune アプリのフィードバック設定

フィードバック設定は、Microsoft 365 Apps管理センターを介して現在ログインしているユーザーの Microsoft 365 エンタープライズ フィードバック ポリシーに対処するために提供されます。 この設定は、フィードバックを有効にできるかどうか、またはユーザーに対して無効にする必要があるかどうかを判断するために使用されます。 この機能は、Intune ポータル サイトと Microsoft Intune アプリで使用できます。 詳細については、「ポータル サイト アプリと Microsoft Intune アプリのフィードバック設定を構成する」を参照してください。

PKG タイプのインストーラー ファイルをアップロードして、macOS LOB アプリを展開する (パブリック プレビュー)

macOS 基幹業務アプリとして PKG タイプのインストーラー ファイルをアップロードして展開できるようになりました。 管理センターから macOS LOB アプリMicrosoft Intune追加するには、[アプリ>] [macOS>] [基幹業務アプリの追加]> の順に選択します。 macOS LOB アプリの詳細については、「macOS 基幹業務アプリを Microsoft Intune に追加する方法」を参照してください。

Android 12L OS を使用する場合のアプリ UI

Android 12L OS には、大型の折りたたみ式デュアルスクリーン デバイスでの Android 12 エクスペリエンスを向上させるために設計された新機能が含まれています。 Intuneアプリが Android デュアルスクリーン デバイスで Android 12L OS をサポートするようになりました。

Managed Home Screen アプリを使用して Android Enterprise デバイスのシリアル番号を表示する

マネージド ホーム スクリーンを使用する Android Enterprise 専用デバイスでは、アプリ構成を使用して、サポートされているすべての OS バージョン (8 以降) でデバイスのシリアル番号を表示するようにマネージド ホーム スクリーン アプリを構成できるようになりました。 Managed Home Screen アプリに関連する情報については、「Microsoft Managed Home Screen app for Android Enterprise の構成を参照してください。

デバイス管理

Android エンタープライズ デバイスの IPv4 アドレスと Wi-Fi サブネット ID を確認する

お客様は、Android エンタープライズ企業所有のフル マネージド、専用、および仕事用プロファイル デバイスについて報告された IPv4 アドレスと Wi-Fi サブネット ID を表示できます。

Android (AOSP) ユーザーは Intune アプリですべてのデバイスを表示できます

AOSP デバイス ユーザーは、Microsoft Intune アプリで管理対象デバイスとデバイス プロパティのリストを表示できるようになりました。 この機能は、Intune にユーザー関連 (Android) AOSP デバイスとして登録されているデバイスで使用できます。

iOS/iPadOS の eSim 携帯データ 通信プランを一括更新する (パブリック プレビュー)

デバイスの一括操作 ([デバイス]>[デバイスの一括操作]>[携帯データネットワークの更新]) を実行して、携帯データネットワーク プランをサポートしている iOS/iPadOS デバイスで、プランをリモートでアクティブ化または更新できるようになりました。 この機能は現在パブリック プレビューの段階です。 詳細については、「一括デバイス アクションの使用」を参照してください。

iOS/iPadOS デバイスの一括ワイプ時に携帯データネットワーク プランを保持する

デバイスの一括操作 ([デバイス]>[デバイスの一括操作]>[ワイプ]) を実行して、Intune から iOS/iPadOS デバイスをリモートでワイプすると、デバイス上のすべての携帯データネットワーク プランが保持されます。 ただし、デバイスのデータ プランを削除する場合は、デバイスをワイプするときにチェックボックスをオンにして携帯データネットワーク プランを削除できます。 詳細については、「一括デバイス アクションの使用」を参照してください。

Android エンタープライズ企業所有デバイスのシステム更新プログラムのインストールを凍結する

バージョン 9.0 以降を実行する Android エンタープライズ企業所有のデバイスの場合、システムまたはセキュリティ更新プログラムをインストールできない凍結期間を構成できます。

凍結を構成するには、Intune デバイス制限プロファイルを使用して、毎年繰り返すことができる 1 つ以上のブロックを設定します。 各ブロックは最大 90 日間使用できますが、システム更新プログラムのインストールが許可されている場合は、凍結期間の間に最低 60 日の間隔が必要です。

凍結期間の構成の詳細については、「Intune を使用して機能を許可または制限する Android エンタープライズ デバイス設定でのシステム更新プログラムの凍結期間」を参照してください。

凍結を実装するための Android の要件については、Google 開発者ドキュメントの「FreezePeriod」を参照してください。

デバイスのセキュリティ

テナントのアタッチ: ウイルス対策プロファイル

エンドポイント セキュリティの Microsoft Defender ウイルス対策プロファイルの一般提供が開始されました。 詳細については、「テナントのアタッチ: 管理センターからウイルス対策ポリシーを作成して展開する」を参照してください。

監視とトラブルシューティング

AppxPackaging イベント ビューアーは、診断の収集の一部です

診断を収集するIntuneのリモート アクションは、Windows デバイスから詳細を収集します。  ([デバイス]>[Windows]>[Windows デバイスを選択]>[診断の収集])

新しい詳細には、Microsoft-Windows-AppxPackaging/Operational イベント ビューアーと、Office のインストールに関する問題のトラブルシューティングに役立つ次の Office ログ ファイルが含まれます。

%windir%\temp\%computername%*.log
%windir%\temp\officeclicktorun*.log

デバイス構成

デバイス構成プロファイルの新しいレポート エクスペリエンス

これで、デバイス構成プロファイルの新しいレポート エクスペリエンスが作成されました。 このレポートエクスペリエンスでは、Windows 管理テンプレート (ADMX)、OEMConfig を使用する Android エンタープライズ デバイス、およびデバイス ファームウェア構成インターフェイス (DFCI) プロファイル タイプは除外されます。

一貫性、精度、組織、およびデータ表現を強化するために、Intune のレポート エクスペリエンスを更新し続けています。これにより、ポリシーごとの Intune のレポートの全体的な "改修" が可能になります。 新しいエクスペリエンスでは、ポリシーごとの概要ページが更新され、ドーナツ グラフから、デバイス/ユーザーのチェックイン時にすばやく更新される洗練された概要グラフに移行します。

ポリシー ビューでは、次の 3 つのレポートを使用できます。

• デバイスとユーザーのチェックイン状態 - このレポートは、以前にデバイスの状態レポートとユーザーの状態レポートに分かれていた情報を統合したものです。 このレポートには、デバイス構成プロファイルのデバイスとユーザーのチェックインのリストと、チェックインの状態と最後のチェックイン時刻が表示されます。 レポートを開くと、集計グラフはページの上部に残り、データはリスト データと一致します。 割り当てフィルター オプションを表示するには、フィルター列を使用します。
• デバイスの割り当て状態 - このレポートは、デバイス構成プロファイルからの、割り当てられたデバイスの最新の状態に関するデータを表示します。 Intune レポートには、保留中の状態情報が含まれます。
• 設定ごとの状態 - このレポートには、デバイス構成プロファイル内の詳細な設定レベルで、成功、競合、エラー状態にあるデバイスとユーザーのチェックインの概要が表示されます。 このレポートでは、他のレポートで使用できたのと同じ整合性とパフォーマンスの更新プログラムとナビゲーション ツールが使用されます。

より多くのドリルダウンが利用でき、レポートごとにより多くの割り当てフィルターがサポートされます。 各レポートの詳細については、「Intune レポート」を参照してください。

Google Chrome の設定は、設定カタログと管理用テンプレートにある

Google Chrome の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Google Chrome の設定を構成するために、カスタムの OMA-URI デバイス構成ポリシーを作成しました。

これらのポリシーの種類の詳細については、以下を参照してください。

• 設定カタログを使用して Windows と macOS のデバイスで設定を構成する
• ADMX テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する

適用対象:

• Windows 10 または 11

新しい macOS 設定 (設定 カタログ)

設定カタログには、構成できる新しい macOS 設定があります (デバイス>構成>Create>macOS for platform > プロファイルの種類の設定カタログ)。

ユーザー エクスペリエンス > アクセシビリティ:

• 遠点のビューを閉じる
• ホットキーが有効なビューを閉じる
• 近点のビューを閉じる
• スクロール ホイール トグルのビューを閉じる
• 滑らかな画像のビューを閉じる
• コントラスト
• フラッシュ画面
• マウス ドライバー
• マウス ドライバーのカーソル サイズ
• マウス ドライバーのトラックパッド無視
• マウス ドライバーの初期遅延
• マウス ドライバーの最大速度
• スロー キー機能
• スロー キーのビープ音オン
• スロー キーの遅延
• モノラルとしてのステレオ
• 固定キー機能
• 修飾子の固定キーのビープ音
• 固定キーの表示ウィンドウ
• ボイス オーバー オン オフ キー
• 黒の上に白

エア プレイ:

• 許可リスト
• Password

ユーザー エクスペリエンス > デスクトップ:

• 画像のパスをオーバーライドする

設定 > グローバル基本設定:

• 自動ログアウトの遅延
• 複数のセッションが有効

印刷 > 印刷:

• 管理者にローカルでの印刷を要求する

セキュリティ > セキュリティ設定:

• ファイアウォール UI を許可しない
• ロック メッセージ UI を許可しない
• パスワード リセット UI を許可しない

設定 > システム環境設定:

• 無効なユーザー設定ウィンドウ
• 有効なユーザー設定ウィンドウ

設定 > ユーザー設定:

• クラウド パスワードの使用を無効にする

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

印刷 > エアプリント:

• IP アドレス
• リソース パス

ネットワーク > ファイアウォール:

• 可
• バンドル ID
• すべての受信をブロックする
• ファイアウォールを有効にする
• ステルス モードを有効にする

ログイン > ログイン 項目:

• 非表示

ログイン > ログイン ウィンドウの動作:

• 管理者ホスト情報
• 許可リスト
• 拒否リスト
• コンソール アクセスを無効にする
• 即時画面ロックを無効にする
• 管理者ユーザーを非表示にする
• ローカル ユーザーを非表示にする
• ネットワーク ユーザーを含める
• ログイン中にログアウトが無効になりました
• ログイン ウィンドウのテキスト
• ログイン中に電源オフが無効になりました
• 再起動が無効になりました
• ログイン中に再起動が無効になりました
• フル ネームの表示
• 管理されている他のユーザーを表示する
• シャットダウンが無効になりました
• ログイン中にシャットダウンが無効になりました
• スリープが無効になりました

システム ポリシー > システム ポリシー制御:

• 特定された開発者を許可する
• 評価を有効にする

システム ポリシー>システム ポリシー管理:

• オーバーライドを無効にする

設定カタログを使用して作成されたポリシーとテンプレートを使用して作成されたポリシーの間には、競合の解決はありません。 設定カタログで新しいポリシーを作成する場合は、現在のポリシーと競合する設定がないことを確認してください。

Intune でのカタログ プロファイルの構成設定詳細については、「Microsoft Intune の設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

デバイスの登録

登録済みの macOS デバイスでブートストラップ トークンを利用する (パブリック プレビュー)

Intune では、macOS バージョン 10.15 以降を実行している登録済みデバイスでのブートストラップ トークンの使用がサポートされるようになりました。 ブートストラップ トークンを使用すると、管理者以外のユーザーが MDM アクセス許可を増やし、IT 管理者に代わって特定のソフトウェア機能を実行できます。トークンは、次の場合にサポートされます。

• 監視対象デバイス (Intune では、ユーザーが承認したすべての登録が対象)
• Apple 自動デバイス登録を介して Intune に登録されたデバイス

ブートストラップ トークンは 2022 年 3 月 26 日までに機能を開始しますが、すべてのテナントで機能を開始するまでには時間がかかる場合があります。

Intune でのブートストラップ トークンのしくみの詳細については、「macOS デバイスの登録を設定する」を参照してください。

Apple シリコンを実行している macOS 仮想マシンを登録する

macOS 用のポータル サイト アプリを使用して、Apple シリコンで実行されている仮想マシンを登録します。 Intune では、テスト目的でのみ macOS 仮想マシンの使用がサポートされています。 Intune での仮想マシンの登録の詳細については、「macOS デバイスの登録を設定する」を参照してください。

役割ベースのアクセス制御

Android (AOSP) では、スコープ タグと RBAC 設定がサポートされる

Android (AOSP) のポリシーを作成するときに、ロールベースのアクセス制御 (RBAC) とスコープ タグを使用できます。

これらの機能の詳細については、以下を参照してください。

• 「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
• 「分散 IT への RBAC とスコープのタグの使用」

適用対象:

• Android Open Source Project (AOSP)

2022 年 2 月

アプリ管理

ポータル サイト アプリの高度なログ設定

[高度なログを有効にする] 設定は、iOS/iPadOS および macOS の Intune ポータル サイト アプリ バージョン v5.2202 以降で使用できます。 デバイス ユーザーは、デバイスの高度なログを有効または無効にできます。 高度なログを有効にすると、問題のトラブルシューティングのために詳細なログ レポートが Microsoft に送信されます。 既定では、[高度なログを有効にする] 設定はオフになっています。 デバイス ユーザーは、organizationの IT 管理者から特に指示がない限り、この設定をオフにしておく必要があります。詳細については、「ポータル サイト使用状況データを Microsoft と共有する」および「macOS のポータル サイト設定を管理する」を参照してください。

デバイス構成

Apple の自動デバイス登録のためのセルラー データ プラン

自動デバイス登録（ADE）を構成する際の iOS/iPadOS 登録プロファイルの一部として、セルラー データをアクティブ化するようにデバイスを構成できるようになりました。 このオプションを構成すると、組織の eSIM 対応の携帯電話デバイスの携帯電話データ プランをアクティブ化するコマンドが送信されます。 このコマンドを使用してデータ プランをアクティブ化するには、通信事業者がデバイスのライセンス認証を準備する必要があります。 この設定は、ADE に登録している iOS/iPadOS 13.0 以降を実行しているデバイスに適用されます。 詳細については、「Apple の自動デバイス登録を使用して iOS または iPadOS デバイスを自動登録する」を参照してください。

デバイス管理

Android 専用 (COSU) デバイスでのオーディオ アラートのサポート

紛失した デバイスサウンド デバイスの再生アクションを使用して、デバイス上のアラームサウンドをトリガーして、紛失または盗難されたAndroid Enterprise専用デバイスを見つけるのに役立つようになりました。 詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

iOS/iPadOS デバイスでオンデマンド VPN デバイス構成ポリシーを作成する際の UI の更新

iOS/iPadOS デバイス (デバイス>構成>Create>iOS/iPadOS for platform >VPN for profile type >Automatic VPNOn-demand VPN) 用のオンデマンド VPN > 接続を作成できます。

UI は、Apple の技術的な命名に厳密に一致するように更新されています。 構成できるオンデマンド VPN 設定を確認するには、「iOSおよび iPadOSデ バイスの自動 VPN 設定」に移動します。

適用対象:

• iOS/iPadOS

Android Enterprise では、エンタープライズ Wi-Fiプ ロファイルの [自動的に接続] 設定を使用します

Android Enterprise デバイスでは、一般的なエンタープライズ Wi-Fi 設定 (デバイス>の構成>Create>Android Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned 仕事用プロファイル>Wi-Fi を含む Wi-Fi プロファイルを作成できます。プロファイルの種類>は、Wi-Fi タイプの Enterprise)。

デバイスが範囲内にあるときに Wi-Fi ネットワークに自動的に接続する [自動接続] 設定を構成できます。

構成できる設定を確認するには、「Android Enterprise 専用の完全に管理されたデバイスに Wi-Fi 設定を追加する」に移動します。

適用対象:

• 会社所有 Android Enterprise フル マネージド (COBO)
• 会社所有 Android Enterprise 専用デバイス (COSU)

グループ ポリシー分析の移行準備レポートの非推奨ステータスは、GPO を自動的に再評価します

グループ ポリシー分析を使用すると、グループ ポリシー オブジェクト (GPO) をインポートして、Microsoft Intune などの MDM プロバイダーでサポートされている設定を確認できます。 また、非推奨の設定や、MDM プロバイダーで使用できない設定も示されます。

Intune 製品チームは、マッピング ロジックを更新します。 更新が行われると、非推奨の設定が自動的に再評価されます。 以前は、GPO を再インポートする必要がありました。

グループ ポリシー Analytics とレポートの詳細については、「Microsoft Intuneでグループ ポリシー分析を使用してオンプレミスのグループ ポリシー オブジェクト (GPO) を分析する」を参照してください。

適用対象:

• Windows 11
• Windows 10

Android (AOSP)ユーザー関連デバイスの利用規約を作成する

Android (AOSP) ユーザーに、デバイスを登録する前に Intune ポータル サイト アプリの利用規約に同意するように要求します。 この機能は、企業所有のユーザー関連デバイスでのみ使用できます。 Intune での使用条件の作成の詳細については、「ユーザー アクセスの使用条件」を参照してください。

Microsoft IntuneまたはMicrosoft Intune登録クラウド アプリでMicrosoft Entra使用条件を適用する

Microsoft Intune クラウド アプリまたは Microsoft Intune 登録クラウド アプリを使用して、自動デバイス登録中に iOS および iPadOS デバイスに条件付きアクセス、Microsoft Entra使用条件同意ポリシーを適用します。 この機能は、認証方法として最新の認証を使用するセット アップ アシスタントを選択した場合に使用できます。 どちらのクラウド アプリも、条件付きアクセス ポリシーで必要な場合、ユーザーが登録中またはポータル サイトのサインイン中に利用規約に同意することを保証します。

新しい macOS 設定 (設定 カタログ)

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 設定カタログ ポリシーを作成すると、macOS デバイスで使用できる新しい設定 (デバイス>構成>Create>macOS for platform >Settings catalog for profile type)。

新しい設定には、次のものが含まれます。

• > ドメイン Email ドメイン

• 印刷 > :

  • ローカル プリンターを許可する
  • 既定のプリンター
    • デバイス URI
    • 表示名
  • フッター のフォント名
  • フッターのフォント サイズ
  • 印刷フッター
  • MAC アドレスの印刷
  • プリンターの追加に管理者を要求する
  • 管理されたプリンターのみを表示する
  • ユーザー プリンターの一覧
    • デバイス URI
    • 表示名
    • 場所
    • モデル
    • PPD URL
    • プリンターがロックされている

• プロファイルの削除 パスワード > の削除 パスワード

• グローバル HTTP プロキシ:

  • プロキシ キャプティブ ログイン許可
  • プロキシ PAC フォールバックの許可
  • プロキシ PAC URL
  • プロキシ パスワード
  • プロキシ サーバー
  • プロキシ サーバー ポート
  • プロキシの種類
  • プロキシ ユーザー名

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

デバイスのセキュリティ

Red Hat Enterprise Linux 8.5 に対する Microsoft Tunnel のサポート

これで、Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8.5 を使用できます。

RHEL 8.5 をサポートするために、Linux カーネルに ip_tables モジュールが存在するように、準備ツール (mst-readiness) も新しいチェックで更新しました。 既定では、RHEL 8.5 では ip_tables モジュールは読み込まれません。

モジュールをロードしない Linux サーバーについては、モジュールをすぐにロードし、起動時に自動的にロードするように Linux サーバーを構成する手順を示しました。

モバイル脅威防御パートナーの Zimperium が GCC High テナントで利用可能になりました

Zimperium は、米国の GCC High 環境でモバイル脅威防御 (MTD) パートナーとして利用できるようになりました。

このサポートにより、GCC High テナントで有効にできる MTD コネクタの一覧に、Zimperium 用のIntune コネクタが表示されます。

GCC High 環境はより規制された環境であり、GCC High 環境でサポートされている MTD パートナー用のコネクタのみが使用可能です。 GCC High テナントでのサポートの詳細については、「Microsoft Intune for US Government GCC High および DoD サービスの説明」を参照してください。

Intune がサード パーティの MTD パートナーに送信する iOS/iPadOS デバイスのアプリ インベントリ データを管理する

Intune が選択したサード パーティのモバイル脅威防御 (MTD) パートナーに送信する、個人所有の iOS/iPadOS デバイスのアプリケーション インベントリ データの種類を構成できるようになりました。

アプリのインベントリデータを制御するには、パートナーの モバイルの脅威保護コネクタの MDM コンプライアンス ポリシー設定の一部として次の設定を構成します。

• 個人所有の iOS/iPadOS デバイスで完全なアプリケーション インベントリ データを送信する

  この設定のオプションは次のとおりです。

  • オン - MTD パートナーがアプリ データを同期し、Intuneから iOS/iPadOS アプリケーションの一覧を要求した場合、その一覧にはアンマネージド アプリ (Intune 経由でデプロイされていないアプリ) と、Intune経由でデプロイされたアプリが含まれます。 この動作は現在の動作です。
  • オフ - アンマネージド アプリに関するデータは提供されません。MTD パートナーは、Intune経由で展開されたアプリに関する詳細のみを受け取ります。

企業デバイスの場合、マネージド アプリとアンマネージド アプリに関するデータは、MTD ベンダーによるアプリ データのリクエストに引き続き含まれます。

監視とトラブルシューティング

Microsoft Intune管理センターで移動するリモート ヘルプ

Microsoft Intune管理センターの [リモート ヘルプ] ページが移動し、コネクタとトークンの代わりにテナント管理の下で直接使用できるようになりました。 リモート ヘルプの詳細については、「リモート ヘルプを使用する」を参照してください。

2022 年 1 月

アプリ管理

管理対象の macOS デバイスに DMG タイプのアプリケーションを展開する

必要な割り当ての種類を使用して、Microsoft Intuneから DMG 型アプリケーションをマネージド Mac にアップロードしてデプロイできます。 DMG は、Apple ディスク イメージ ファイルのファイル拡張子です。 DMG タイプのアプリは、macOS 用の Microsoft Intune MDM エージェントを使用して展開されます。 管理センターから DMG アプリMicrosoft Intune追加するには、[アプリ>] [macOS] [macOS > アプリの追加 >(DMG)] を選択します。 詳細については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

デバイスの管理

Windows VPN プロファイルを作成するときに、ユーザーまたはデバイスのスコープを選択する

VPN 設定 (デバイス>の構成>Create Windows 10>以降のプラットフォーム>のプロファイル用テンプレート> VPN) を構成する Windows デバイス用の VPN プロファイルを作成できます。

プロファイルを作成するときは、[この VPN プロファイルをユーザー/デバイス スコープで使用する] 設定を使用して、プロファイルをユーザー スコープまたはデバイス スコープに適用します。

• ユーザー スコープ: VPN プロファイルは、デバイスのユーザーのアカウント内にインストールされます。
• デバイス スコープ: VPN プロファイルはデバイス コンテキストにインストールされ、デバイス上のすべてのユーザーに適用されます。

既存の VPN プロファイルは既存のスコープに適用され、この変更の影響を受けません。 デバイス スコープが必要なデバイス トンネルが有効になっているプロファイルを除いて、すべての VPN プロファイルがユーザー スコープにインストールされます。

現在構成できる VPN 設定の詳細については、「Intune を使用して VPN 接続を追加するための Windows デバイス設定」を参照してください。

適用対象:

• Windows 11
• Windows 10

フィルターは一般提供されています (GA)

フィルターを使用して、さまざまなデバイス プロパティに基づいて、ワークロードの割り当て (ポリシーやアプリなど) にデバイスを含めたり除外したりできます。 フィルターが一般公開されました (GA)。

フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。

Android Enterprise デバイスの自動デバイス クリーンアップ ルールのサポート

Intune は、非アクティブ、古い、または応答していないように見えるデバイスを自動的に削除するルールの作成をサポートしています。 以前はサポートしていなかった Android Enterprise デバイスで、これらのクリーンアップ ルールを使用できるようになりました。 これらのルールは現在、次の場合にサポートされています。

• Android Enterprise のフル マネージド
• Android Enterprise 専用
• Android Enterprise の会社所有の仕事用プロファイル

クリーンアップ ルールの詳細については、「クリーンアップ ルールを使用してデバイスを自動的に削除する」を参照してください。

［診断の収集］ を使用して、Intune のリモート操作で Windows 365 デバイスからより多くの詳細を収集する

収集診断に対するIntuneのリモート アクションにより、Windows 365 (Coud-PC) デバイスから詳細が収集されるようになりました。 Windows 365 デバイスの新しい詳細には、次のレジストリ データが含まれます。

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\WebRTC Redirector
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Teams\

Windows 365 デバイスでサポートされているリモート アクションについては、「Windows 365 デバイスのリモート管理」を参照してください。

テナント接続機能は一般提供されています (GA)

次のテナント接続機能が一般提供されています。

• クライアントの詳細
• アプリケーション
• デバイスのタイムライン
• リソース エクスプローラー
• CMPivot
• スクリプト
• BitLocker 回復キー
• コレクション

展開前にフィルター処理されたデバイスのリストをプレビューする

Microsoft Intune でフィルターを作成または編集すると、フィルター処理されたデバイスのリストをプレビューできるようになります。 新しいビューでは、フィルターがデバイスに与える影響をすぐにプレビューし、フィルター ルールを調整して目的の結果を達成できるため、テスト フィルターを適用する必要がなくなります。 Microsoft Intuneでフィルターを使用する方法の詳細については、「フィルターを作成する」を参照します。

デバイスのセキュリティ

iOS/iPadOS 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリック プレビュー

iOS/iPadOS 用の Microsoft Tunnel クライアント機能は、Microsoft Defender for Endpoint アプリに移行しています。 このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビュー バージョンの使用を開始できます。 既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリック プレビューの適用対象:

• iOS/iPadOS

このプレビューでは、Microsoft Defender for Endpoint のプレビュー バージョンを Apple App Store でダウンロードし、サポートされているデバイスをスタンドアロンの Tunnel クライアント アプリからプレビュー アプリに移行します。 詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

パブリック プレビューのデバイスでローカル グループのユーザーを構成するための新しいアカウント保護ポリシー

パブリック プレビューでは、Intune アカウント保護ポリシーの新しいプロファイルを使用して、Windows 10 および 11 デバイスの組み込みローカル グループのメンバーシップを管理できます。

各 Windows デバイスには、一連の組み込みローカル グループが付属しています。 各ローカル グループには、そのグループ内で権限を持つユーザーのセットが含まれています。 エンドポイント セキュリティ アカウント保護ポリシーの新しいローカル ユーザー グループ メンバーシップ (プレビュー) プロファイルを使用すると、これらのローカル グループのメンバーであるユーザーを管理できます。

ローカル グループのメンバーシップを構成するには、変更する組み込みのローカル アカウントを選択し、次に、グループ内で追加、削除、または他のユーザーと置き換えるユーザーを選択します。 ポリシーを受信する各デバイスは、それらのローカル グループのメンバーシップを更新します。 各デバイスのグループ メンバーシップの変更は、ポリシー CSP - LocalUsersAndGroups を使用して行われます。

詳細については、「Windows デバイスでのローカル グループの管理」を参照してください。

スクリプト/開発者

Intune Data Warehouse の更新プログラム

applicationInventoryエンティティがIntune Data Warehouseから削除されました。 UI と Intune のエクスポート API を使用して、新しいデータセットを使用できるようになりました。 詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2021 年 12 月

アプリ管理

Microsoft マネージド ホーム スクリーン アプリで使用できるその他のセッション PIN 制限

Android Enterprise 用のマネージド ホーム スクリーン アプリで、ユーザーのセッション PIN にさらに制限を適用できるようになりました。 具体的には、次のマネージド ホーム スクリーンが提供されるようになりました。

• セッション PIN の最小長を定義する機能。
• Managed Home Screen からログアウトする前に、ユーザーがセッション PIN を正常に入力する必要がある試行の最大数を定義する機能。
• 繰り返し (444) または順序付き (123、321、246) パターンを使用して PIN を作成することをユーザーに制限する複雑さの値を定義する機能。

詳細については、「Microsoft Managed Home Screen app for Android Enterprise の構成」 および 「Android Enterprise デバイス設定を参照して、Intune を使用した機能を許可または制限する」 を参照してください。

デバイス構成

デバイス構成プロファイルでエラーまたは競合が発生したプロファイルの数を表示する新しいオプション

Intune管理センターには、新しい [X ポリシーとエラーまたは競合] オプションがあります。 このオプションを選択すると、[デバイス]>[モニター]>[割り当て失敗] レポートに自動的に移動します。 このレポートは、エラーと競合のトラブルシューティングに役立ちます。

この新しいオプションは、Intune管理センターの次の場所で使用できます。

• ホーム ページ
• ダッシュボード

詳細については、「Microsoft Intune のデバイス プロファイルの監視」および「割り当て失敗レポート」を参照してください。

適用対象:

• Windows 11
• Windows 10

iOS/iPadOS および macOS デバイス用の新しいタイムアウトと iCloud プライベート リレーをブロックする設定

iOS/iPadOS および macOS デバイスでは、デバイス上の機能を管理するデバイス制限ポリシー (デバイス>の構成>Create>iOS/iPadOS または macOS のプラットフォーム>のデバイス制限) を作成できます。

新しい設定があります:

• iOS/iPadOS:
  • iCloud プライベート リレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベート リレーを使用できなくなります (Apple の Web サイトを開きます)。
• macOS
  • iCloud プライベート リレーをブロックする: 監視対象デバイスでは、この設定により、ユーザーは iCloud プライベート リレーを使用できなくなります (Apple の Web サイトを開きます)。
  • タイムアウト: ユーザーは、指紋などの Touch ID を使用してデバイスのロックを解除できます。 この設定を使用して、ユーザーが一定期間操作を行わなかった後にパスワードを入力するように要求します。 既定の非アクティブ期間は 48 時間です。 48 時間操作がないと、デバイスは Touch ID の代わりにパスワードの入力を求めます。

適用対象:

• iOS/iPadOS 15 以降
• macOS 12 以降

仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの新しいデバイス制限設定

Android Enterprise デバイスでは、デバイス上の機能を制御する設定を構成できます (デバイス>構成>Create>Android Enterprise for platform > プロファイルの種類>のデバイス制限全般)。

仕事用プロファイルを備えた Android Enterprise の企業所有デバイスには、次の新しい設定があります:

• 仕事用連絡先を検索し、仕事用連絡先の発信者 ID を個人用プロファイルに表示する
• 仕事用プロファイルと個人用プロファイルの間でのコピー/貼り付け
• 仕事用プロファイルと個人プロファイル間のデータ共有

現在構成できる設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• 会社所有 Android Enterprise 仕事用プロファイル (COPE)

設定カタログは、米国政府の GCC High および DoD でサポートされています

設定カタログは、米国政府の GCC High および DoD で利用およびサポートされています。

設定カタログとその内容の詳細については、「設定カタログを使用して Windows および macOS デバイスの設定を構成する」を参照してください。

適用対象:

• macOS
• Windows 11
• Windows 10

Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイル デバイスの Wi-Fi プロファイルに証明書共通名を入力する

Android Enterprise デバイスでは、エンタープライズ Wi-Fi 設定 (デバイス>の構成>>Create Android Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned プロファイルの種類の仕事用プロファイル >Wi-Fi) を構成する Wi-Fi プロファイルを作成できます。

[Enterprise] を選択すると、新しい Radius サーバー名の設定があります。 この設定は、Wi-Fi アクセス ポイントへのクライアント認証中に Radius サーバーによって提示される証明書で使用される DNS 名です。 たとえば、「Contoso.com」、「uk.contoso.com」、または「jp.contoso.com」と入力します。

完全修飾ドメイン名に同じ DNS サフィックスを持つ複数の Radius サーバーがある場合は、サフィックスのみを入力できます。 たとえば、「contoso.com」と入力できます。

この値を入力すると、ユーザー デバイスは、Wi-Fi ネットワークへの接続時に表示されることがある動的信頼ダイアログをバイパスできます。

知っておく必要がある情報:

• Android 11 以降を対象とする新しい Wi-Fi プロファイルでは、この設定を構成する必要がある場合があります。 そうしないと、デバイスが Wi-Fi ネットワークに接続しない可能性があります。

現在構成できる設定の詳細については、「Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイル Wi-Fi 設定」を参照してください。

適用対象:

• 会社所有 Android Enterprise 仕事用プロファイル (COPE)
• 会社所有 Android Enterprise フル マネージド (COBO)
• Android Enterprise 専用デバイス (COSU)

Windows デバイス上の Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定

Intuneでは、管理用テンプレートを使用して、Microsoft Edge 設定 (デバイス>の構成>Create Windows 10>以降のプラットフォーム>用テンプレート> プロファイルの種類の管理用テンプレート) を構成できます。

Microsoft Edge 96、97、および Microsoft Edge アップデーターの新しい管理用テンプレート設定があります。 これには、ターゲット チャネルのオーバーライド のサポートが含まれます。 ターゲット チャネル オーバーライドを使用して、ユーザーが拡張安定リリース サイクル オプションを取得できるようにします。これは、グループ ポリシーまたは Intune を使用して設定できます。

詳細については、以下を参照してください:

• Microsoft Intune で Microsoft Edge のポリシー設定を構成する
• Microsoft Edge チャネルの概要
• Microsoft Edge ブラウザー ポリシーのドキュメント

適用対象:

• Windows 11
• Windows 10
• Microsoft Edge

デバイスの登録

Windows と Apple の登録制限ポリシーにデバイスの種類のフィルターを適用する (プレビュー)

登録制限の新しい割り当てフィルターを使用して、デバイスの種類に基づいてデバイスを含めるたり、除外したりします。 たとえば、operatingsystemSKU 割り当てフィルターを適用することで、Windows 10 Home を実行しているデバイスをブロックする一方で、個人用デバイスを許可できます。 フィルターは Windows、macOS、iOS の登録ポリシーに適用できます。Android のサポートは後日提供されます。 また、フィルターを使用することで、登録制限に対する新しいセットアップ エクスペリエンスが可能になります。 フィルターの作成方法の詳細については「フィルターの作成」を参照してください。 登録制限の作成方法に関する詳細については、「登録制限を設定する」をご覧ください。

Windows 登録の状態ページ プロファイルの割り当てでフィルターを使用する

フィルターを使用すると、さまざまなデバイス プロパティに基づいて、ポリシーまたはアプリの割り当てにデバイスを含めたり除外したりできます。 登録状態ページ (ESP) プロファイルを作成するときに、プロファイルを割り当てるときにフィルターを使用できます。 [すべてのユーザー] と [すべてのデバイス] 割り当てオプションも使用できます。 管理センター Microsoft Intuneで、[デバイスの登録][登録>状態] ページ>Createを選択します>。 フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。 ESP プロフィールの詳細については、「登録ステータス ページを設定する」を参照してください。

デバイス管理

管理センター内からリモート ヘルプを起動する

Microsoft Intune管理センター内からリモート ヘルプを起動できるようになりました。 これを行うには、管理センターで [すべてのデバイス] に移動し、支援が必要なデバイスを選択します。 次に、[新しいリモート ヘルプ セッション] を選択します。これは、デバイス ビューの上部にあるリモート アクション バーから使用できます。

エンドポイント分析フィルタリング

エンドポイント分析レポートのテーブルにフィルターを追加できるようになりました。 フィルターを使用すると、環境の傾向を見つけたり、潜在的な問題を特定したりできます。

フィルターを使用して管理センターで Endpoint Analytics プロアクティブ修復スクリプトを割り当てる - パブリック プレビュー

Intune管理センターでは、フィルターを作成し、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。 フィルターを使用して、次のポリシーを割り当てることができます。

• エンドポイント分析のプロアクティブな修復 Windows PowerShell スクリプト ([レポート]>[エンドポイント分析]>[プロアクティブな修復])

フィルターの詳細については、「アプリ、ポリシー、プロファイルを割り当てるときにフィルター (プレビュー) を使用する」を参照してください。

適用対象:

• Windows 11
• Windows 10

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Groupdolists by Centrallo LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

BlackBerry – 新しいモバイル脅威防御パートナー

BlackBerry Protect Mobile (Cylance AI を搭載) を Intune との統合モバイル脅威防御 (MTD) パートナーとして使用できるようになりました。 Intune で BlackBerry Protect Mobile MTD コネクタを接続することにより、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

詳細については、以下を参照してください。

• Intune でのモバイル脅威防御の統合
• BlackBerry UES のドキュメント

監視とトラブルシューティング

Windows 10 診断用の新しいイベント ビューアー

Windows デバイス診断に、「高度なセキュリティ/ファイアウォールを備えた Microsoft - Windows - Windows ファイアウォール」 という新しいイベント ビューアーが追加されました。 「イベント ビューアー」は、ファイアウォールに関する問題のトラブルシューティングに役立ちます。 Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」 を参照してください。

ポータル Web サイトでのデバイスの準拠状況

エンド ユーザーは、ポータル Web サイトでデバイスの準拠状況をより簡単に確認できます。 エンド ユーザーは、ポータル サイト Web サイトにアクセスし、[デバイス] ページを選択してデバイスの状態を確認できます。 デバイスは、"会社のリソースにアクセスできる"、"アクセスを確認中"、または "会社のリソースにアクセスできない" のいずれかの状態でリストされます。 詳細については、「ポータル サイト Web サイトからアプリを管理する」および「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

2021 年 11 月

アプリ管理

マネージド Google Play アプリのアプリ更新の優先度を有効にする

仕事用プロファイル Android Enterprise デバイスを使用して、専用、フル マネージド、企業所有のマネージド Google Play アプリの更新の優先度を設定できます。 デバイスでの課金状態、Wi-Fi 機能、エンド ユーザーアクティビティに関係なく、開発者が更新プログラムを公開するとすぐにアプリを更新するには、[高い優先度] を選択します。 詳細は、「Intune で managed Google Play アプリを Android エンタープライズ デバイスに追加する」を参照してください。

共有デバイス モード (パブリック プレビュー) に登録されている Android Enterprise 専用デバイスのセッション間でアプリ データをクリアする

Intune を使用すると、共有デバイス モードと統合されていないアプリケーションのアプリ データをクリアして、サインイン セッション間のユーザー プライバシーを確保することができます。 ユーザーは、IT で指定されたアプリがデータをクリアするために、Microsoft Entra共有デバイス モードと統合されたアプリケーションからサインアウトを開始する必要があります。 この機能は、Android 9 以降で共有デバイス モードに登録されている Android Enterprise 専用デバイスで使用できます。

検出された基になるアプリの一覧データをエクスポートする

検出されたアプリの一覧データの概要をエクスポートできるだけでなく、さらに多くの基になるデータもエクスポートできるようになります。 現在の集計エクスポート エクスペリエンスでは集計された集計データが提供されますが、新しいエクスペリエンスでは生データも提供されます。 生データのエクスポートによって、データセット全体が提供されます。これは、要約された集計レポートを作成するために使用します。 生データは、すべてのデバイスと、そのデバイスで検出された各アプリの一覧になります。 Intune データ ウェアハウス アプリケーション インベントリ データセットを置き換えるために、この機能が Intune コンソールに追加されました。 Microsoft Intune管理センターで、[アプリ>モニター>] [検出されたアプリ>のエクスポート] を選択して、エクスポート オプションを表示します。 詳細については、「検出されたアプリIntune」および「Graph API を使用してIntune レポートをエクスポートする」を参照してください。

プラットフォーム固有のアプリ 一覧を表示するときのフィルターの機能強化

Microsoft Intune管理センターでプラットフォーム固有のアプリリストを表示する場合のフィルターが改善されました。 以前は、プラットフォーム固有のアプリの一覧に移動するときに、一覧で アプリの種類 フィルターを使用できませんでした。 この変更により、プラットフォーム固有のアプリの一覧にフィルター ( アプリの種類 と 割り当ての状態 フィルターを含む) を適用できます。 詳細については、「Intune レポート」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• PenPoint by Pen-Link, Ltd.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Win32 アプリの置き換えと依存関係に対する新しい RBAC アクセス許可

Win32 アプリの置き換えと依存関係を他のアプリと作成および編集するための新しいMicrosoft Intuneアクセス許可が追加されました。 このアクセス許可は、Mobile アプリカテゴリの下で[関連付け]を選択すると使用できます。 2202 サービス リリース以降、Intune管理者には、管理センターで Win32 アプリを作成または編集するときに置き換えアプリと依存関係アプリを追加Microsoft Intuneこのアクセス許可が必要になります。 管理センターでこのアクセス許可Microsoft Intune見つけるには、[テナント管理>ロール>] [すべてのロール>Create] を選択します。 このアクセス許可は、次の組み込みロールに追加されました。

• アプリケーション マネージャー
• 学校の管理者

詳細については、「Intuneでカスタム ロールをCreateする」を参照してください。

適用できない状態エントリが [デバイスのインストール状態] レポートに表示されなくなりました

デバイスのインストール状態レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。 デバイスに関連するアプリのインストールの詳細には、[UPN]、[プラットフォーム]、[バージョン]、[状態]、[状態の詳細]、[最後のチェックイン] が含まれます。 デバイスのプラットフォームがアプリケーションのプラットフォームと異なる場合、エントリの[状態の詳細]に [該当なし] と表示されず、エントリは提供されません。 たとえば、Android アプリが選択され、アプリが iOS デバイスを対象としている場合、[該当なし] デバイスの状態値を提供するのではなく、そのエントリのデバイス状態は [デバイス インストールの状態] レポートに表示されません。 このレポートを見つけるには、管理センター Microsoft Intuneで、[アプリ>] [すべてのアプリ]> [アプリ>] [デバイスのインストール状態] の選択を選択します。 詳細については、「アプリの デバイスインストール状態レポート (運用)」を参照してください。

Edge 95 および Edge アップデーターの新しい ADMX 設定

Edge 95 と Edge アップデータの ADMX 設定が管理用テンプレートに追加されました。 これらの設定には、グループ ポリシーまたはIntuneを使用して、いつでも拡張安定リリース サイクル オプションを選択できる "ターゲット チャネルオーバーライド" のサポートが含まれます。 管理センター Microsoft Intuneで、[デバイスの構成>Create] を選択します>。 次に、[プラットフォーム]>[Windows 10 以降]を選択し、[プロファイル]>テンプレート]>[管理用テンプレート]の順に選択します。 詳細については、「Microsoft Edge チャネルの概要」、「Microsoft Edge ブラウザー ポリシー ドキュメント」、および「Microsoft Intuneでの Microsoft Edge ポリシー設定の構成」を参照してください。

ポータル サイトのインストール中の新しいプライバシーの同意画面

中国など、特定のアプリ ストアのプライバシー要件を満たすために、Android 用ポータル サイトに新しいプライバシーの同意画面を追加しました。 これらのストアから初めてポータル サイトをインストールPeople、インストール中に新しい画面が表示されます。 画面には、Microsoft が収集する情報とその使用方法が説明されています。 ユーザーは、アプリを使用する前に条項に同意する必要があります。 このリリースより前にポータル サイトをインストールしたユーザーには、新しい画面は表示されません。

Android ポータル サイト アプリと Intune アプリをカスタム通知用に更新する

Intuneの 11 月 (2111) サービス リリースのカスタム通知に対してサービス側の更新を行いました。 ユーザーエクスペリエンスを最大限に高めるために、カスタム通知では、ユーザーが Android ポータル サイトの最新バージョン (2021 年 10 月にリリースされたバージョン 5.0.5291.0) または Android Intune アプリ (2021 年 9 月にリリースされたバージョン 2021.09.04) に更新する必要があります。 ユーザーがIntuneの 11 月 (2111) サービス リリースの前に更新せず、カスタム通知が送信された場合、通知を表示するようにアプリを更新する通知を受け取ります。 アプリを更新すると、アプリの [通知] セクションにorganizationから送信されたメッセージが表示されます。 詳細は、「Intune でカスタム通知を送信する」を参照してください。

デバイス管理

エンドポイント分析のデバイスごとのスコアリング

Endpoint 分析のデバイスごとのスコアはプレビュー段階から外れ、一般提供が開始されました。 デバイスごとのスコアは、ユーザー エクスペリエンスに影響を与える可能性があるデバイスを特定するのに役立ちます。 デバイスごとのスコアを確認すると、ヘルプ デスクへの呼び出しが行われる前に、エンド ユーザーの問題を見つけて解決するのに役立つ場合があります。

[機能更新プログラムのエラー] レポートにセーフガード ホールドが表示されるようになりました

セーフガードホールドが原因でデバイスが Windows 更新プログラムのインストールをブロックされた場合、その保留の詳細は、Microsoft Intune管理センター>の機能更新プログラムの失敗レポートで確認できます。

セーフガード ホールドを持つデバイスは、エラーがあるデバイスとしてレポートに表示されます。 このようなデバイスの詳細を表示すると、[警告メッセージ] 列にセーフガード ホールドが表示され、[展開エラー コード] 列にはセーフガード ホールドの ID が表示されます。

Microsoft では、更新後のエクスペリエンスが低下することがデバイスで検出された場合に、デバイスへの更新プログラムのインストールをブロックするためにセーフガード ホールドを設定する場合があります。 たとえば、ソフトウェアやドライバーは、セーフガード ホールドを設定する一般的な理由です。 根本的な問題が解決され、更新プログラムが安全にインストールされるようになるまで、保留は維持されます。

アクティブなセーフガード ホールドと解決の見込みに関する詳細については、https://aka.ms/WindowsReleaseHealth で Windows のリリースの正常性ダッシュボードを参照してください。

プレリリース ビルドの Windows Update を管理するための機能強化

Windows 10の更新リングを使用し、後でプレリリース ビルドの Windows 更新プログラムを管理するエクスペリエンスが向上しました。 改善点は次のとおりです。

• [プレリリース ビルドを有効にする ] は、 更新リングの [更新リングの設定 ] ページの新しいコントロールです。 この設定を使用して、プレリリース ビルドに更新するように割り当てられたデバイスを構成します。 次のプレリリース ビルドを選択できます。

  • ベータ チャンネル
  • 開発チャネル
  • Windows Insider - リリース プレビュー

  プレリリース ビルドの詳細については、 Windows Insider Web サイトを参照してください。

• Windows 10 以降の ポリシーの更新リングが割り当てられたデバイスでは、Autopilot 中に ManagePreviewBuilds設定が変更されなくなります。 Autopilot 中にこの設定が変更されると、別のデバイスの再起動が強制されます。

Windows 10 以降の更新リングを使用して Windows 11 にアップグレードする

Windows 10以降のリングを更新する新しい設定があります。 この設定では、対象となるデバイスをWindows 10からWindows 11にアップグレードできます。

• Windows 10デバイスを最新のWindows 11 リリースにアップグレードする: 既定では、この設定は [いいえ] に設定されています。 [はい] に設定すると、このポリシーを受け取る対象のWindows 10デバイスは、最新のビルドのWindows 11に更新されます。

  [はい] に設定すると、Intuneこの設定を展開することで、アップグレードするデバイスの Microsoft ライセンス条項に同意していることを確認する情報ボックスが表示されます。 情報ボックスには、 Microsoft ライセンス条項へのリンクも含まれています。

更新リングの詳細については、「Windows 10 以降の更新リング」を参照してください。

iOS/iPadOS のアクティブ化ロック リモート デバイスの無効化アクションが UI から削除されました

アクティブ化ロックを無効にするためのリモート デバイス アクションは Intune では使用できなくなりました。 「Intune を使用して監視対象の iOS/iPadOS デバイスでライセンス認証ロックを無効にする」で詳しく説明されているように、アクティブ化ロックをバイパスできます。

このリモート アクションは、iOS/iPadOS アクティベーション ロック機能を無効にする操作が意図したとおりに機能しなかったため、削除されます。

セキュリティ ベースラインのUpdates

セキュリティ ベースライン用の更新プログラムのペアがあります。これにより、次の設定が追加されます。

• Windows 10 以降のセキュリティ ベースライン (Windows 10 および Windows 11 に適用されます) 新しいベースライン バージョンは2021 年 11 月で、Microsoft ブラウザーで使用される Scan スクリプトがMicrosoft Defender カテゴリに追加されます このベースラインには、他の変更はありません。

• Windows 365 セキュリティ ベースライン (プレビュー) 新しいベースライン バージョンはバージョン 2110で、次の 2 つの設定が追加され、他の変更はありません。

  • Microsoft ブラウザーで使用されるスキャン スクリプト は、Microsoft Defender カテゴリに追加されます。
  • 改ざん防止を有効にして、Microsoft Defender が無効にならないようにする が Windows セキュリティに追加されます。これは、このベースライン バージョンで追加された新しいカテゴリです。

ベースラインの更新を最新のバージョンに更新することを計画します。 バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

Windows 10/11 デバイスのデバイス コンプライアンスのカスタム設定を使用する (パブリック プレビュー)

パブリック プレビューとして、Windows 10 および Windows 11 デバイスのデバイス コンプライアンス ポリシーでは、デバイス コンプライアンス ポリシーへのカスタム設定の追加がサポートされています。 カスタム設定の結果は、他のコンプライアンス ポリシーの詳細と共にMicrosoft Intune管理センターに表示されます。

カスタム設定を使用するには、次を作成して管理センターに追加し、カスタム コンプライアンス設定を強化します。

• JSON ファイル – JSON ファイルには、カスタム設定とそのコンプライアンス値の詳細が含まれます。 JSON には、非準拠の場合に設定を修復する方法についてユーザーに提供する情報も含まれています。
• PowerShell スクリプト– PowerShell スクリプトは、JSON ファイルで定義されている設定の状態を判断するために実行されるデバイスに対して展開し、Intune に報告します。

JSON とスクリプトの準備ができたら、カスタム設定を含む標準のコンプライアンス ポリシーを作成できます。 カスタム設定を含めるオプションは、カスタム コンプライアンス. という名前の新しいコンプライアンス設定カテゴリにあります。

.JSON and PowerShell スクリプトの例など、詳細を確認するには、「カスタム コンプライアンス設定」 を参照してください。

Windows 10 以降の機能更新プログラムの新しいスケジュール オプション

Windows 10以降の機能更新プログラムのポリシーからの更新プログラムがデバイスのインストールに使用できるようになるときのスケジュールを改善するために、ロールアウト オプションの 3 つを追加しました。 これらの新しいオプションは次のとおりです。

• 更新プログラムをできるだけ早く利用可能にする - このオプションを使用すると、以前とは異なり、ただちにデバイスで更新プログラムを利用できるようになります。
• 特定の日付に更新プログラムを利用可能にする - このオプションを使用すると、このポリシーを受け取るデバイスに Windows Updateによってこの更新プログラムが提供される最初の日を選択します。
• 更新プログラムを段階的に利用可能にする - このオプションを使用すると、Windows Updateは、このポリシーを受け取るデバイスを、グループ間で待機する開始グループ時間、終了グループ時間、および日数に基づいて計算される異なるグループに分割します。 Windows Update では、最後のグループに更新プログラムが提供されるまで、これらのグループに更新プログラムが 1 つずつ提供されます。 このプロセスは、構成した時間にわたって更新プログラムの可用性を分散するのに役立ちます。 すべてのデバイスに更新プログラムを同時に提供する場合と比較して、ネットワークへの影響を軽減できます。

段階的な可用性の詳細を含む情報については、「Windows Updatesのロールアウト オプション」を参照してください。

Microsoft Intune管理センターで利用できる Windows デバイスの新しい詳細

Windows 10とWindows 11デバイスの次の詳細が収集され、Microsoft Intune管理センターの [デバイスの詳細] ウィンドウで表示できるようになりました。

• システム管理 BIOS バージョン
• TPM　製造元バージョン
• TPM 製造元 ID

これらの詳細は、[すべてのデバイス] ウィンドウから詳細をエクスポートするときにも含まれます。

共有 iPad の設定の一般提供を開始

4 つの共有 iPad 設定がプレビューから外れ、Apple 登録プロファイルを作成するときに一般公開されています。 これらの設定は、自動デバイス登録 (ADE) 中に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:

• 共有 iPad の一時的な設定のみを必要とする (プレビュー): ユーザーがゲスト バージョンのサインイン エクスペリエンスのみを表示し、ゲスト ユーザーとしてサインインする必要があるデバイスを構成します。 管理対象の Apple ID でサインインすることはできません。
• 一時セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、一時セッションは自動的にサインアウトします。
• ユーザー セッションがログアウトするまでの非アクティブ時間の最大秒数: 指定した時間が経過してもアクティビティがない場合、ユーザー セッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:

• 共有 iPad で画面ロック後にパスワードが要求されるまでの最大秒数: 画面ロックがこの時間を超えた場合は、デバイスのロックを解除するためにデバイス パスワードが必要になります。

共有 iPad モードでデバイスを設定する方法の詳細については、「Apple 登録プロファイルの作成」を参照してください。

設定カタログ プロファイルを複製する

設定カタログ プロファイルで重複がサポートされるようになりました。 既存のプロファイルのコピーを作成するには、[複製] を選択 します。 コピーには元のプロファイルと同じ設定構成とスコープ タグが含まれていますが、それに割り当てはアタッチされていません。 設定カタログの詳細については、「設定カタログを使用した Windows と macOS のデバイスでの設定の構成」を参照してください。

[どこからでも作業] レポート

[どこからでも作業] レポートは、エンドポイント分析の [推奨されるソフトウェア] レポートに変わりました。 [どこからでも作業] レポートには、Windows、クラウド管理、クラウド ID、およびクラウド プロビジョニングのメトリックが含まれています。 詳細については、[どこからでも作業] レポートに関する記事を参照してください。

Android デバイス管理者用の場所の廃止

2021 年 10 月、Android デバイス管理者として登録されているデバイス用のデバイス コンプライアンス ポリシーで場所を使用するサポートは廃止されました。 場所の使用は、多くの場合、ネットワーク フェンシングと呼ばれます。

Android デバイス管理者に対して、ネットワーク フェンス機能に依拠したポリシーと依存関係は機能しなくなりました。 既に発表したように、ネットワーク フェンスのサポートを再構想しています。 詳細情報は、使用可能になると共有されます。

デバイスのセキュリティ

テナントに接続されたデバイスの BitLocker 回復キーを表示する

テナントに接続されたデバイスの BitLocker 回復キーをMicrosoft Intune管理センターで表示できるようになりました。 回復キーは引き続きテナントに接続されたデバイスのオンプレミスに保存されますが、管理センターでの可視性は、管理センター内からヘルプデスクのシナリオを支援することを目的としています。

キーを表示するには、Intune アカウントに BitLocker キーを表示するための Intune RBAC アクセス許可が必要です。また、コレクション ロールの Configuration Manager で関連するオンプレミスのアクセス許可を持つオンプレミス ユーザーに、関連付けられている必要があり、BitLocker 回復キーの読み取りアクセス許可が付与されている必要があります。

適切なアクセス許可を持つユーザーは、[デバイス]>[Windows デバイス]>[デバイスの選択]>[回復キー]の順に選択します。

バージョン 2107 以降を実行するConfiguration Managerサイトでは、この機能がサポートされています。 バージョン 2107 を実行するサイトの場合は、参加しているデバイスをサポートするために更新プログラムのロールアップMicrosoft Entraインストールする必要があります。 詳細については、KB11121541を参照してください。

設定カタログに BitLocker 設定が追加されました

9 BitLocker 設定が、Microsoft Intune 設定カタログに追加されましたが、以前は グループ ポリシー (GP)でのみ使用できました。 設定にアクセスするには、[デバイス>の構成] に移動し、Windows 10 以降を実行しているデバイスの設定カタログ プロファイルを作成します。 次に、設定カタログで BitLocker を検索して、BitLocker に関連するすべての設定を表示します。 設定カタログの詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。 追加された設定は次のとおりです。

• 組織の一意の識別子を指定する
• 固定データ ドライブにドライブ暗号化の種類を適用する
• InstantGo または HSTI に準拠しているデバイスにプリブート PIN のオプトアウトを許可する
• 拡張スタートアップ PIN を許可する
• 標準ユーザーが PIN またはパスワードのを変更できないようにする
• スレートでプリブート キーボード入力を必要とする BitLocker 認証の使用を有効にする
• オペレーティング システム ドライブにドライブ暗号化の種類を適用
• リムーバブル ドライブでの BitLocker の使用を制御する
• リムーバブル データ ドライブにドライブ暗号化の種類を強制する

Defender for Endpoint を使用したセキュリティ管理 (パブリック プレビュー)

この機能はパブリック プレビュー段階であり、今後数週間でテナントに段階的にロールアウトされます。 Microsoft Intune管理センターとMicrosoft Defender for Endpointの両方に関連するトグルが表示されたときに、テナントがこの機能を受け取ったかどうかを確認できます。

Microsoft Defender for Endpointを使用したセキュリティ管理は、新しい構成チャネルです。 このチャネルを使用して、Microsoft Intuneに登録されていないデバイスのMicrosoft Defender for Endpoint (MDE) のセキュリティ構成を管理します。 このシナリオでは、Microsoft Intuneから展開する Defender for Endpoint のポリシーを取得、適用、およびレポートするデバイス上の Defender for Endpoint です。 デバイスはMicrosoft Entra IDに参加しており、IntuneやConfiguration Managerで管理する他のデバイスと共にMicrosoft Intune管理センターにも表示されます。

詳細については、「Microsoft Intuneを使用してデバイスのMicrosoft Defender for Endpointを管理する」を参照してください。

監視とトラブルシューティング

リモート ヘルプアプリはパブリック プレビューとして利用できます

パブリック プレビューとして、Intune テナントでリモート ヘルプ アプリを使用できます。 リモート ヘルプでは、Azure Active に対して直接認証を行うユーザーは、デバイス間でリモート ヘルプ セッションを接続することで、他のユーザーをリモートで支援できます。

ロールベースのアクセス制御によって管理されるリモート ヘルプのアクセス許可Intune使用すると、次の制御が行われます。

• 他のユーザーを支援するアクセス許可を持つユーザー
• 他のユーザーを支援しながら実行できるアクション

リモート ヘルプの機能は次のとおりです。

• テナントのリモート ヘルプを有効にする – リモート ヘルプを有効にした場合、その使用はテナント全体で有効になります。
• 組織ログインが必要 - リモート ヘルプを使用するには、ヘルパーと共有者の両方がorganizationのMicrosoft Entra アカウントでサインインする必要があります。
• 登録されていないデバイスでリモート ヘルプを使用する – Intuneに登録されていないデバイスにヘルプを許可することもできます。
• コンプライアンス警告 - デバイスに接続する前に、割り当てられたポリシーに準拠していないデバイスに関するコンプライアンス違反警告がヘルパーに表示されます。 この警告はアクセスをブロックしませんが、セッション中に管理資格情報などの機密データを使用するリスクに関する透明性を提供します。
• ロールベースのアクセス制御 – 管理者は、ヘルパーのアクセスのスコープと、支援を提供しながら実行できるアクションを決定する RBAC ルールを設定できます。
• 特権の昇格 - 必要に応じて、適切な RBAC アクセス許可を持つヘルパーが共有者のマシンの UAC プロンプトを操作して資格情報を入力できます。
• アクティブなリモート ヘルプ セッションを監視し、過去のセッションの詳細を表示する – Microsoft Intune管理センターでは、誰が、どのデバイスで、どのくらいの期間を支援したかについての詳細を含むレポートを表示できます。 アクティブなセッションの詳細も確認できます。

この機能は次の週に展開され、まもなくテナントが利用できるようになります。 詳細については、「リモート ヘルプを使用する」を参照してください。

グループ ポリシー分析ツールで自動的に更新する MDM サポート データ

Microsoft が Intune でマッピングに変更を加えるたびに、GP 分析ツールの MDM サポート 列が自動的に更新され、変更が反映されます。 自動化は以前の動作よりも改善されています。以前は、グループ ポリシー オブジェクト (GPO) を再インポートしてデータを更新する必要がありました。 グループ ポリシー分析の詳細については、「グループ ポリシー分析を使用する」 をご覧ください。

2021 年 10 月

アプリ管理

アプリ保護ポリシーを使用して iOS/iPadOS ユニバーサル リンクを管理する

アプリケーション保護ポリシー (APP) 設定を使用して、iOS/IPadOS アプリの管理対象ユニバーサル リンクとユニバーサル リンク適用除外の両方を構成できます。 管理対象ユニバーサル リンクを使用すると、http/s リンクを、保護されたブラウザーではなく、登録済みの APP で保護されたアプリケーションで開くことができます。 ユニバーサル リンク適用除外では、http/s リンクを保護されたブラウザーではなく、登録済みの保護されていないアプリケーションで開くことができます。 詳細については、「データ転送」と「ユニバーサル リンク」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• Appian for Intune (Appian Corporation 提供)
• Space Connect (SpaceConnect Pty Ltd 提供)
• AssetScan For Intune (Align 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

個人所有の Android および会社所有の仕事用プロファイルに対する接続アプリのサポート

サポートされているアプリの接続アプリ エクスペリエンスをユーザーが有効にできるようになりました。 このアプリ構成設定を使用すると、ユーザーは仕事用と個人用のアプリ インスタンス間でアプリ情報を接続できます。 管理センター Microsoft Intuneで、[アプリ]>[アプリの構成ポリシー] [管理対象デバイスの追加]> の順に>選択します。 詳細については、「管理対象 Android Enterprise デバイス用のアプリ構成ポリシーを追加する」を参照してください。

Android ポータル サイト アプリでログを保存するときのフローの改善

Android ポータル サイト アプリでは、ユーザーが Android ポータル サイト ログのコピーをダウンロードするとき、ログを保存するフォルダーを選択できるようになりました。 Android ポータル サイト ログを保存するには、[設定]>[診断ログ]>[ログの保存] を選択します。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• iAnnotate for Intune/O365 (Branchfire, Inc. 提供)
• Dashflow for Intune (Intellect Automation International Pty Limited 提供)
• HowNow (Wonderush Limited 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの登録

ユーザーの割り当て

先週、Autopilot のユーザー登録中の認証エクスペリエンスが変更されました。 この変更は、登録を行う前にユーザーが特定のデバイスに割り当てられているすべての Autopilot 展開に影響します。

1 回限りの自己展開と事前プロビジョニング

Windows Autopilot の自己展開モードと事前プロビジョニング モードのエクスペリエンスに変更を加え、デバイスの再利用プロセスの一部としてデバイス レコードを削除する手順を追加しました。 この変更は、Autopilot プロファイルが自己展開モードまたは事前プロビジョニング モードに設定されているすべての Windows Autopilot 展開に影響します。 この変更は、デバイスが再使用されたとき、またはリセットされて再デプロイを試みる場合にのみ影響します。 詳細については、「Windows Autopilot のサインインと展開エクスペリエンスの更新」を参照してください。

デバイス管理

特定の Android Enterprise デバイスでの Wi-Fi MAC アドレスの削除

Intuneでは、Android 9 以降を実行しているデバイス管理者が管理する、新しく登録された個人所有の仕事用プロファイル デバイスとデバイスの Wi-Fi MAC アドレスが表示されなくなります。 Google では、2021 年 11 月までに API 30 を対象とするすべてのアプリの更新を求めています。 この変更により、Android はデバイスで使用されている MAC アドレスをアプリが収集できないようにします。 詳細については、「 ハードウェア デバイスの詳細」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 11 の最小要件を満たすデバイスを Windows 11 にアップグレードできます。 新しい機能更新プログラムのポリシーを構成するのと同じくらい簡単に行えます。展開する機能更新プログラムとして利用可能な Windows 11 バージョンを指定します。

詳細については、「デバイスを Windows 11 にアップグレードする」を参照してください。

Windows 11 ハードウェアの準備に関する分析情報

エンドポイント分析の [どこからでも作業] レポートでは、Windows 11 ハードウェアの準備分析情報が提供されるようになりました。 登録されているデバイスのうち、Windows 11 の最小システム要件を満たすデバイスの数と、組織内で最も阻害要因となる要件をすばやく特定できます。 Windows 11 ハードウェアの準備状態をデバイス レベルで把握できるように掘り下げます。 詳細については、「Windows 11 ハードウェアの準備」を参照してください。

Microsoft Intuneでの Microsoft Surface 管理ポータルの概要

コマーシャル のお客様に最高のエクスペリエンスを提供するという継続的なコミットメントに照らして、Microsoft は Microsoft 全体のチームと提携し、Surface 管理をMicrosoft Intune内の単一ビューに合理化しました。

何千ものデバイスで大規模なorganizationをリードしたり、中小企業向けの IT を管理したりする場合は、すべての Surface デバイスの正常性に関する分析情報を得ることができます。 このポータルでは、デバイスの保証とサポート要求を監視することもできます。 Microsoft Surface 管理ポータルは、現在、米国のお客様が利用できます。今後グローバルに展開される予定です。 Microsoft Surface と新しい管理ポータルの最新情報については、Surface IT Pro Blog をフォローしてください。

Android Enterprise の会社所有の仕事用プロファイル デバイスの個人用アプリをブロックまたは許可する

デバイス構成では、デバイスでブロックまたは許可される個人用アプリの一覧を作成できます。 設定を未構成のままにしておくことも、個人用プロファイルでブロックまたは許可されているアプリの一覧を作成することもできます。 この設定は、[デバイス>] [Android>構成プロファイル>] Create[新しいポリシー] を選択することで、管理センター Microsoft Intune>使用できます。 Android Enterprise の会社所有の仕事用プロファイル デバイスの設定の詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

iOS/iPadOS と macOS で Kerberos シングル サインオン拡張機能を構成する場合の新しい設定

iOS/iPadOS デバイスと macOS デバイスで Kerberos SSO 拡張機能を構成するときに使用できる新しいデバイス機能設定があります。 管理センター Microsoft Intune、[デバイス>] [iOS/iPadOS] または [macOS>構成プロファイル>] を選択しますCreate>[新しいポリシー>] [プロファイルの>デバイス機能] [シングル サインオン アプリ拡張機能>Kerberos for SSO アプリ拡張機能の種類] の順に選択します。 詳細については、Intuneの「iOS/iPadOS デバイス機能設定」と「macOS デバイス機能の設定」を参照してください。

パブリック プレビューの 4 つの新しい共有 iPad 登録設定

Intune では、パブリック プレビュー用の 4 つの新しい共有 iPad 設定を使用できます。 これらの設定は、デバイスの自動登録時に適用されます。

共有 iPad モードの iPadOS 14.5 以降の場合:
- [共有 iPad の一時的な設定のみを要求する]: ユーザーにサインイン エクスペリエンスのゲスト バージョンのみが表示されるようにデバイスを構成し、ゲスト ユーザーとしてサインインする必要があります。 管理対象の Apple ID でサインインすることはできません。 - 一時セッションがログアウトするまでの非アクティブ状態の最大秒数: 指定した時刻以降にアクティビティがない場合、一時セッションは自動的にサインアウトします。- ユーザー セッションがログアウトするまでの非アクティブ状態の最大秒数: 指定した時刻以降にアクティビティがない場合、ユーザー セッションは自動的にサインアウトします。

共有 iPad モードの iPadOS 13.0 以降の場合:
- 共有 iPad にパスワードが必要になるまでの画面ロックの最大秒数: 画面ロックがこの時間を超える場合は、デバイスのロックを解除するためにデバイス パスワードが必要です。

企業デバイスの Android (AOSP) 管理の概要

Microsoft Intuneを使用して、Android オープン ソース プロジェクト (AOSP) プラットフォームで実行される企業所有のデバイスを管理できます。 Microsoft Intune では現在、RealWear デバイス専用の新しいAndroid (AOSP)管理オプションをサポートしています。 管理機能は次のとおりです。

• ユーザーに関連付けられたデバイスまたは共有デバイスとしてデバイスをプロビジョニングします。
• デバイス構成とコンプライアンス プロファイルを展開します。

Android (AOSP) 管理を設定する方法の詳細については、「Android デバイスの登録」を参照してください。

デバイスのセキュリティ

Windows Autopilot 登録フローの MFA の変更

Microsoft Entra IDのベースライン セキュリティを向上させるために、デバイスの登録中に多要素認証 (MFA) のMicrosoft Entra動作を変更しました。 以前は、ユーザーがデバイス登録の一部として MFA を完了した場合、登録が完了した後、MFA 要求はユーザーの状態に引き継がれていました。 今後、登録後も MFA 要求は保持されません。ユーザーは、ポリシーによって MFA を必要とするアプリについて MFA をやり直すよう求められます。 詳細については、「登録フローに対する Windows Autopilot MFA の変更」を参照してください。

Windows 10 Enterprise マルチセッション VM の Windows 10 セキュリティ更新プログラムを管理する

設定カタログを使用して、Windows Enterprise マルチセッション VM の品質 (セキュリティ) 更新プログラムの Windows Update 設定を管理できるようになりました。 設定を見つけるには、設定カタログのマルチセッション VM でを使用できます。

1. 設定カタログを使用する Windows 10 のデバイス構成ポリシーを作成し、Enterprise マルチセッションの設定フィルターを構成します。

2. 次に、Windows Update for Business カテゴリを展開して、マルチセッション VM で使用できる更新設定から選択します。

設定には以下が含まれます。

• アクティブ時間の終了 - CSP: Update/ActiveHoursEnd に関するページを参照してください
• アクティブ時間の最大範囲- CSP: Update/ActiveHoursMaxRange
• アクティブ時間の開始 - CSP: Update/ActiveHoursStart
• "更新プログラムの一時停止" 機能のブロック - CSP: Update/SetDisablePauseUXAccess
• 期限猶予期間の構成 - CSP: Update/ConfigureDeadlineGracePeriod
• 品質更新プログラムを延期する期間 (日数) - CSP: Update/DeferQualityUpdatesPeriodInDays
• 品質更新プログラムの一時停止の開始時刻 - CSP: Update/PauseQualityUpdatesStartTime
• 品質更新プログラムの期限期間 (日数) - CSP: Update/ConfigureDeadlineForQualityUpdates

2021 年 9 月

アプリ管理

アプリ保護ポリシーをより的確にターゲットにするために利用可能な新しいアプリ カテゴリ

アプリ保護ポリシーをより簡単かつ迅速にターゲットにするために使用できるアプリのカテゴリを作成することで、Microsoft Intuneの UX が向上しました。 これらのカテゴリとは、すべてのパブリック アプリ、Microsoft アプリ、コア Microsoft アプリです。 ターゲットのアプリ保護ポリシーを作成した後、[View a list of the apps that will be targeted]\(ターゲットになるアプリの一覧を表示する\) を選択して、このポリシーの影響を受けるアプリの一覧を表示することができます。 新しいアプリがサポートされると、これらのアプリが必要に応じて含まれるようにこれらのカテゴリが動的に更新され、選択したカテゴリのすべてのアプリにポリシーが自動的に適用されます。 必要に応じて、個々のアプリのポリシーも引き続きターゲットにすることができます。 詳細については、「アプリ保護ポリシーを作成して割り当てる方法」と「Intune を使用して Windows 情報保護 (WIP) ポリシーを作成して展開する」を参照してください。

iOS/iPadOS/macOS ポータル サイト バージョンの同期

iOS/iPadOS ポータル サイトと macOS ポータル サイトのバージョンは、次のリリースでバージョン 5.2019 に同期されます。 今後、iOS/iPadOS と macOS ポータル サイト アプリのバージョン番号は同じになります。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

デバイス構成

組み込みアプリの新しい iOS デバイス制限設定、ドキュメント表示

iOS デバイスで構成できる新しいデバイス制限設定は 2 つあります (デバイス>iOS/iPadOS>構成プロファイル>Create>新しいポリシーと[プロファイルのデバイス制限] を選択します)。Intune。

• Siri の翻訳をブロックする (組み込みアプリ): Siri サーバーへの接続を無効にして、ユーザーが Siri を使用してテキストを翻訳できないようにします。 iOS と iPadOS バージョン 15 以降に適用されます。
• マネージド オープンイン (App Store、ドキュメント表示、ゲームの影響を受けるコピー/貼り付けを許可する): 管理されていないアプリでの企業ドキュメントの表示をブロックする方法と、企業アプリでの非企業ドキュメントの表示をブロックする方法に基づいて、コピー/貼り付けの制限を適用します。

Intune の iOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

新しい macOS デバイス制限設定により、ユーザーはデバイス上のすべてのコンテンツと設定を消去できなくなります

使用可能な新しい macOS デバイス制限設定があります (デバイス>macOS>構成プロファイル>Create>新しいポリシー>を選択し、Intuneで [テンプレート>] [デバイスの制限] を選択します。

ユーザーがデバイス上のすべてのコンテンツと設定を消去することを禁止します (全般): ユーザーがデバイスを出荷時の設定にリセットできないように、監視対象デバイスのリセット オプションを無効にします。

Intune の macOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための macOS デバイスの設定」を参照してください。

適用対象:

• macOS バージョン 12 以降

macOS の新しいソフトウェア更新プログラムの制限設定

macOS デバイス制限プロファイル (デバイス>macOS>構成プロファイル>Create新しいポリシー>) を構成するときに使用できる新しいソフトウェア更新プログラム設定は、>Intuneの [テンプレート>] [デバイスの制限] の 5 つです。

• ソフトウェア更新プログラムの延期 (全般): 延期期間が経過するまで、ユーザーが特定の種類の新しくリリースされた更新プログラムを表示できないようにします。 ソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムは停止または変更されません。 延期できるソフトウェア更新プログラムの種類には、メジャーの OS ソフトウェア更新プログラム、マイナーの OS ソフトウェア更新プログラム、OS 以外のソフトウェア更新プログラム、またはこれら 3 つの任意の組み合わせが含まれます。
• ソフトウェア更新プログラムの既定の表示を遅らせる (全般): すべてのソフトウェア更新プログラムの既定の表示を最大 90 日間延期します。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 10.13.4 以降に適用されます。
• 主要な OS ソフトウェア更新プログラムの可視性の遅延 (全般): 主要な OS ソフトウェア更新プログラムの可視性を最大 90 日間遅延します。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
• マイナーの OS ソフトウェア更新プログラムの表示を遅らせる (全般): マイナーの OS ソフトウェア更新プログラムの表示を最大 90 日間遅らせます。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.3 以降に適用されます。
• OS 以外のソフトウェア更新プログラムの表示を遅らせる (全般): OS 以外のソフトウェア更新プログラム (Safari 更新プログラムなど) の表示を最大 90 日間遅らせます。 延期期間が過ぎると、更新プログラムがユーザーに提供されます。 この値は、既定の表示設定の値よりも優先されます。 macOS バージョン 11.0 以降に適用されます。

Intune の macOS デバイス制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための macOS デバイスの設定」を参照してください。

Android Enterprise の新しいデバイス制限設定: 開発者向け設定

Intuneには、Android Enterprise デバイス (デバイス>Android Enterprise>Configuration プロファイル>Create>新しいポリシーと [プロファイルのデバイス制限] の順に選択する) の新しいデバイス制限設定があります。

• 開発者設定: [許可] に設定すると、ユーザーはデバイスの開発者設定にアクセスできます。 既定では、[未構成] に設定されています。 フル マネージド、専用、会社所有の仕事用プロファイル デバイスに適用されます。

Android Enterprise 制限プロファイルの詳細については、「Intune を使用する機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

新しいデバイス制限設定により、仕事用プロファイルの連絡先をペアリングされた Bluetooth デバイスと共有できなくなります

会社所有の仕事用プロファイル デバイスの新しいデバイス制限設定を使用すると、ユーザーは、車やモバイル デバイスなどのペアリングされた Bluetooth デバイスと仕事用プロファイルの連絡先を共有できなくなります。 設定を構成するには、[デバイス>の構成]>Create>[Android Enterprise for platform>] [プロファイルのデバイス制限] の順に移動します。

• 設定名: Bluetooth 経由の連絡先共有 (仕事用プロファイル レベル)
• 設定の切り替え:
• ブロック: ユーザーが Bluetooth 経由で仕事用プロファイルの連絡先を共有できないようにします。
• 未構成: デバイスに制限が適用されないため、ユーザーは Bluetooth 経由で仕事用プロファイルの連絡先を共有できる可能性があります。

デバイス管理

Intune で iOS/iPadOS 13 以降がサポートされるようになりました

Intune ポータル サイトおよび Intune アプリ保護ポリシーを含む Microsoft Intune では、iOS/iPadOS 13 以降が必要になりました。

Intune で macOS 10.15 以降がサポートされるようになりました

Intune の登録とポータル サイトで、macOS 10.15 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

新しい Android デバイス フィルター オプション

Intune の [すべてのデバイス]一覧で、OS でフィルター処理するときに、次の Android 登録の種類を選択できるようになりました。

• Android (個人所有の仕事用プロファイル)
• Android (会社所有の仕事用プロファイル)
• Android (フル マネージド)
• Android (専用)
• Android (デバイス管理者)

管理センター Microsoft Intune、[デバイス>] [すべてのデバイス] の順に選択し、特定の Android 登録の種類の OS 列を表示します。 Android 登録の種類の詳細については、「Intune レポート」を参照してください。

ポリシー セットの設定カタログ ポリシー

テンプレートに基づくプロファイルに加えて、設定カタログに基づくプロファイルをポリシー セットに追加できます。 設定カタログは、構成できるすべての設定の一覧です。 管理センターでポリシー セットMicrosoft Intune作成するには、[デバイス>] [ポリシー セット][ポリシー セット>>Create] の順に選択します。 詳細については、「ポリシー セットを使用して管理オブジェクトのコレクションをグループ化する」と「設定カタログを使用して Windows と macOS のデバイスで設定を構成する」を参照してください。

Android Enterprise 専用デバイス用の管理されたホーム画面のサインイン設定を構成する

共有デバイス モードマネージド ホーム スクリーン使用して登録された Android Enterprise 専用デバイスを使用するときに、デバイス構成でサインイン設定Microsoft Entra構成できるようになりました。 これらの設定にアプリ構成を使用する必要はなくなりました。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

機能更新プログラムを使用してデバイスを Windows 11 にアップグレードする

Windows 10 以降向け機能更新プログラムのポリシーを使用して、Windows 11 の最小要件を満たすデバイスを Windows 11 にアップグレードできます。 新しい機能更新プログラムのポリシーを構成するのと同じくらい簡単に行えます。展開する機能更新プログラムとして利用可能な Windows 11 バージョンを指定します。

Windows デバイス用のデバイスの一括操作として診断の収集リモート操作を使用する

Windows デバイスに対して実行できる一括デバイス アクションとして、Collect 診断remote アクションが追加されました。 Windows デバイス用のデバイスの一括操作として、診断の収集を使用して、デバイス ユーザーの作業を中断することなく、一度に最大 25 台のデバイスから Windows デバイス ログを収集できます。

Android Enterprise 専用デバイスでのデバイスの検索リモート操作のサポート

デバイスの検索リモート操作を使用して、紛失したまたは盗難にあった Android Enterprise 専用デバイスの現在の場所をオンラインで取得できます。 現在オフラインのデバイスを検索しようとすると、代わりに最後の既知の場所が表示されますが、そのデバイスが過去 7 日間にIntuneでチェックできた場合にのみ表示されます。

詳細については、「紛失したまたは盗まれたデバイスを検索する」を参照してください。

Android Enterprise 専用デバイスで、名前の変更リモート操作がサポートされます

Android Enterprise 専用デバイスで名前の変更リモート操作を使用できるようになりました。 デバイスの名前を個別に、一括で変更できます。 一括名前変更アクションを使用する場合、デバイス名には、乱数またはデバイスのシリアル番号を追加する変数を含める必要があります。

詳細については、「Intune でデバイスの名前を変更する」を参照してください。

新しいMicrosoft Entraデバイス ID とIntuneデバイス ID 検索パラメーターが追加されました

デバイス>のすべてのデバイスでデバイスを検索するときに、デバイス ID をMicrosoft Entraするか、デバイス ID をIntuneして検索できるようになりました。 Intune で使用可能なデバイスの詳細の一覧については、「Microsoft Intune でデバイスの詳細を確認する」を参照してください。

デバイスのセキュリティ

テナント接続: エンドポイント セキュリティ ポリシーのデバイスの状態

テナントに接続されたデバイスのエンドポイント セキュリティ ポリシーの状態を確認できます。 [デバイスの状態] ページには、テナントに接続されているクライアントのすべてのエンドポイント セキュリティ ポリシーの種類にアクセスできます。 エンドポイント セキュリティ ポリシーの種類については、「デバイスの状態」を参照してください。

Configuration Manager テナント接続の攻撃面の減少プロファイル

テナントアタッチで管理するデバイスで使用できる、攻撃面の縮小ポリシー用の 2 つのエンドポイント セキュリティ プロファイルConfiguration Manager追加しました。 これらのプロファイルはプレビュー段階にあり、Intuneによって管理されるデバイスに使用する同様の名前のプロファイルと同じ設定を管理します。 これらの新しいプロファイルは、Windows 10 以降 (ConfigMgr) のプラットフォームの攻撃面の減少ポリシーを構成するときに確認できます。

テナント接続の新しいプロファイル:

• Exploit Protection (ConfigMgr) (プレビュー) - Exploit Protection は、エクスプロイトを使用してデバイスに感染し、拡散するマルウェアから保護するのに役立ちます。 Exploit Protection は、オペレーティング システムまたは個々のアプリに適用できるさまざまな軽減策で構成されています。
• Web 保護 (ConfigMgr) (プレビュー) - Microsoft Defender for Endpoint の Web 保護では、ネットワーク保護を使用して Web の脅威からコンピューターを保護します。 Web 保護では Web プロキシを使用せずに Web の脅威を停止し、遠隔であってもオンプレミスでもコンピューターを保護できます。 Web 保護は、フィッシング サイト、マルウェア ベクター、悪用サイト、信頼されていないサイトまたは低評価サイト、カスタム インジケーター リストでブロックしたサイトへのアクセスを停止します。

テナント接続デバイスのWindows Defender Security Center のサポートが拡張されました

エンドポイント セキュリティウイルス対策ポリシーのWindows セキュリティ エクスペリエンス (プレビュー) プロファイルが更新され、テナントアタッチで管理するデバイスの設定Configuration Managerサポートされています。

以前は、このプロファイルはテナント接続デバイスの改ざん保護に制限されていました。 更新されたプロファイルには、セキュリティ センターの Windows Defender が含まれています。 これらの新しい設定を使用して、Intune マネージド デバイスに類似した名前が付けられたプロファイルで既に管理しているテナント接続デバイス用に同じ詳細を管理できます。

このプロファイルの詳細については、「エンドポイントセキュリティのウイルス対策ポリシー」を参照してください。

Intune アプリ

iOS/iPadOS ポータル サイト アプリからの通知

iOS/iPadOS ポータル サイト アプリからの通知は、無音で配信されるのではなく、既定の Apple のサウンドを使用してデバイスに配信されるようになりました。 iOS/iPadOS ポータル サイト アプリから通知音をオフにするには、[設定]>[通知]>[Comp Portal]を選択し、[サウンド] トグルを選択します。 詳細については、「アプリ通知のポータル サイト」を参照してください。

監視とトラブルシューティング

デバイスの構成に焦点を絞った組織レポート

新しい[デバイスの構成] 組織レポートがリリースされました。 このレポートは、Microsoft Intune管理センターの [デバイス>モニター] にある既存の割り当て状態レポートに置き換えられます。 [デバイスの構成] レポートを使用すると、テナント内にある、状態が成功、エラー、競合、または適用外のデバイスが含まれるプロファイルの一覧を生成できます。 プロファイルの種類、OS、状態にフィルターを使用できます。 返される結果には、検索、並べ替え、フィルター、改ページ、エクスポートの機能が用意されています。 このレポートには、デバイス構成の詳細に加えて、リソース アクセスの詳細と、新しい設定カタログ プロファイルの詳細が表示されます。 詳細については、「Intune レポート」を参照してください。

管理センターでのサポート エクスペリエンスMicrosoft Intune更新されました

Intuneと共同管理のサポート フローで利用でき、Microsoft Intune管理センターのサポート エクスペリエンスが改善されました。 新しいエクスペリエンスでは、問題固有のトラブルシューティングの分析情報と Web ベースのソリューションが提供され、より迅速に解決できるようになります。

この変更の詳細については、サポートのブログ投稿を参照してください。

[機能更新プログラムのエラー] レポートにセーフガード ホールドが表示されるようになりました

セーフガードホールドが原因でデバイスが Windows 更新プログラムのインストールをブロックされた場合、その保留の詳細は、Microsoft Intune管理センター>の機能更新プログラムの失敗レポートで確認できます。

セーフガード ホールドを持つデバイスは、エラーがあるデバイスとしてレポートに表示されます。 このようなデバイスの詳細を表示すると、[警告メッセージ] 列にセーフガード ホールドが表示され、[展開エラー コード] 列にはセーフガード ホールドの ID が表示されます。

Microsoft では、更新後のエクスペリエンスが低下することがデバイスで検出された場合に、デバイスへの更新プログラムのインストールをブロックするためにセーフガード ホールドを設定する場合があります。 たとえば、ソフトウェアやドライバーは、セーフガード ホールドを設定する一般的な理由です。 根本的な問題が解決され、更新プログラムが安全にインストールされるようになるまで、保留は維持されます。

アクティブなセーフガード ホールドと解決の見込みに関する詳細については、https://aka.ms/WindowsReleaseHealth で Windows のリリースの正常性ダッシュボードを参照してください。

割り当てエラー運用レポートの更新

セキュリティ ベースラインとエンドポイント セキュリティ プロファイルが既存の[割り当てエラー] レポートに追加されました。 プロファイルの種類は、フィルター処理が可能な [ポリシーの種類] 列を使用して区別されます。 ロールベースのアクセス制御 (RBAC) アクセス許可がレポートに適用され、管理者が表示できるポリシーのセットをフィルター処理します。 これらの RBAC アクセス許可には、セキュリティ ベースラインのアクセス許可、デバイス構成アクセス許可、およびデバイス コンプライアンス ポリシーのアクセス許可が含まれます。 レポートには、特定のプロファイルのエラーと競合状態のデバイスの数が表示されます。 これらのデバイスまたはユーザーの詳細な一覧と設定の詳細にドリルダウンできます。 [デバイス モニター] を選択するか、[エンドポイント セキュリティ>モニター] を選択>すると、Microsoft Intune管理センターで [割り当てエラー] レポートを確認できます。 詳細については、「[割り当てエラー] レポート (運用)」を参照してください。

2021 年 8 月

Windows 365 の一般提供開始

Windows 365 は、エンド ユーザー向けにクラウド PC を自動的に作成する Microsoft の新しいサービスです。 クラウド PC は、クラウドのパワーとアクセス デバイスを使用して、完全でパーソナライズされた Windows 仮想マシンを提供する新しいハイブリッド パーソナル コンピューティング カテゴリです。 管理者は、Microsoft Intuneを使用して、ユーザーのクラウド PC ごとにプロビジョニングされる構成とアプリケーションを定義できます。 エンド ユーザーは、任意のデバイス、任意の場所から各自のクラウド PC にアクセスできます。 Windows 365は、エンド ユーザーのクラウド PC とデータをデバイスではなくクラウドに格納し、セキュリティで保護されたエクスペリエンスを提供します。

Windows 365 の詳細については、Windows 365 に関するページを参照してください。

組織で Windows 365 を管理する方法については、Windows 365 のドキュメントを参照してください。

アプリ管理

デバイス フィルター評価レポートへの割り当てられたアプリのフィルター結果の追加

使用可能なアプリを割り当てるためにフィルターを使用している場合は、デバイスのフィルター評価レポートを使用して、アプリがインストール可能になっているかどうかを判断できるようになりました。 デバイスごとにこのレポートを表示できます。[ デバイス > ] [すべてのデバイス > ] で、デバイス > フィルターの評価 (プレビュー) を選択します。

• フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
• フィルター レポートの詳細については、「Microsoft Intuneでのレポートのフィルター処理とトラブルシューティング」を参照してください。

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

条件付き起動ポリシーに対する別の Android SafetyNet 評価の種類のサポート

条件付き起動で、[SafetyNet デバイスの構成証明] のサブ設定がサポートされるようになりました。 条件付き起動に必要な SafetyNet デバイス構成証明 を選択した場合は、特定の SafetyNet 評価の種類を使用するように指定できます。 この評価の種類は、ハードウェアによるキーです。 評価の種類としてハードウェアを利用するキーが存在することは、デバイスの整合性の向上を意味します。 ハードウェアに基づくキーをサポートしていないデバイスは、この設定を対象としている場合、MAM ポリシーによってブロックされます。 SafetyNet の評価とハードウェアを利用するキーのサポートの詳細については、Android 開発者向けドキュメントで評価の種類に関する記述をご確認ください。 Android の条件付き起動設定の詳細については、「条件付き起動」を参照してください。

iOS および Android デバイスの Outlook S/MIME 設定の更新

管理対象アプリのオプションを使用するときに、[Outlook S/MIME の設定] で、iOS および Android デバイスに対して常に署名したり、常に暗号化したりできるようになりました。 この設定は、管理アプリを使用する場合Microsoft Intune管理センターで [アプリ>アプリの構成ポリシー] を選択することで確認できます。 また、管理対象アプリとマネージド デバイスの両方について、iOS および Android デバイスに対して Outlook S/MIME の LDAP (ライトウェイト ディレクトリ アクセス プロトコル) URL を追加できます。 詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

managed Google Play アプリのスコープ タグ

スコープ タグによって、特定の権限を持つ管理者が Intune で表示できるオブジェクトが決まります。 Intune で新しく作成された項目のほとんどでは、作成者のスコープ タグが使用されます。 このシナリオは、マネージド Google Play ストア アプリには適用されません。 必要に応じて、[Managed Google Play コネクタ] ウィンドウで、新しく同期されたすべての管理対象の Google Play アプリに適用するスコープ タグを割り当てることができるようになりました。 選択したスコープ タグは新しい managed Google Play アプリにのみ適用されます。テナントで既に承認されている managed Google Play アプリには適用されません。 詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」および「分散型 IT 用のロールベースのアクセス制御 (RBAC) タグとスコープ タグを使用する」を参照してください。

macOS LOB アプリの内容が Intune に表示される

Intune によって、macOS LOB アプリ (.intunemac ファイル) の内容がコンソールに表示されるようになりました。 Intune コンソールで、macOS LOB アプリを追加するときに .intunemac ファイルから取得されたアプリ検出の詳細を確認および編集できるようになりました。 PKG ファイルをアップロードすると、検出規則が自動作成されます。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>] [追加] の順に選択します。 続けて、基幹業務アプリの種類と、.intunemac ファイルを含む [アプリのパッケージ ファイル] を選択します。 詳細については、「macOS の基幹業務 (LOB) アプリを Microsoft Intune に追加する方法」を参照してください。

アプリ管理

macOS デバイス用の Intune ポータル サイトがユニバーサル アプリになりました

macOS デバイス用の Intune ポータル サイト バージョン 2.18.2107 以降をダウンロードすると、Apple Silicon Macs でネイティブ実行される、アプリの新しいユニバーサル バージョンがインストールされます。 同じアプリは、Intel Mac マシンに x64 バージョンのアプリをインストールします。 詳細については、「macOS アプリのポータル サイトを追加する」を参照してください。

デバイス構成

Certificate Connector for Microsoft Intune の新しいバージョン

新しいバージョンの Certificate Connector for Microsoft Intune バージョン 6.2108.18.0 をリリースしました。 この更新プログラムには、次の内容が含まれます。

• 管理センターで現在のコネクタの状態を正しく表示Microsoft Intune修正。
• SCEP 証明書の配信エラーを正しく報告するための修正。

コネクタのリリースと更新プログラムの一覧を含む証明書コネクタの詳細については、「Certificate Connector for Microsoft Intune」を参照してください。

Windows 10/11 以降のデバイスの DFCI 構成プロファイルでフィルターを使用する

Intuneでは、さまざまなプロパティに基づいてデバイスを対象とするフィルターを作成できます。 デバイス ファームウェア構成インターフェイス (DFCI) プロファイルを作成するときに、プロファイルを割り当てるときにフィルターを使用できます。

• フィルターの詳細については、アプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する方法に関する記事を参照してください。
• DFCI プロファイルの詳細については、Windows デバイスのデバイスのファームウェア構成インターフェイス プロファイルを使用する方法に関する記事を参照してください。

適用対象:

• サポートされている UEFI での Windows 11
• サポートされている UEFI 上の Windows 10 RS5 (1809) 以降

macOS デバイス上のカスタム デバイス構成プロファイルの新しい展開チャネル設定

macOS デバイス用のカスタム デバイス制限ポリシーを作成するときに、使用可能な新しい展開チャネル設定 (デバイス>構成>Create>macOS for platform >Templates>Custom for profile) があります。

展開チャネル設定を使用して、構成プロファイルをユーザー チャネルまたはデバイス チャネルに展開します。 プロファイルを間違ったチャネルに送信すると、展開が失敗する可能性があります。 デバイス プロファイルまたはユーザー プロファイルでペイロードを使用する方法の詳細については、「Profile-Specific Payload Keys (プロファイル固有のペイロード キー)」(Apple の開発者用 Web サイトが開きます) を参照してください。

Intune でのカスタム macOS プロファイルの詳細については、macOS デバイス用のカスタム設定の使用に関する記事を参照してください。

適用対象:

• macOS

iOS および iPadOS 14.5 以降のデバイス用の構成プロファイル設定を使用して設定された Wi-Fi ネットワークを使用する

iOS/iPadOS デバイスのデバイス制限ポリシーを作成するときに、新しい設定 (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>のデバイス制限) があります。

• [Require devices to use Wi-Fi networks set up via configuration profiles]\(構成プロファイルを使用して設定された Wi-Fi ネットワークを使用するようデバイスに要求する\): [はい] に設定すると、構成プロファイルを通じて設定された Wi-Fi ネットワークのみを使用するようデバイスに要求します。

現在構成できる設定を確認するには、「Intune を使用する機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

• iOS/iPadOS 14.5 以降

新しい macOS デバイス構成プロファイル設定と、iOS および iPadOS 設定名の変更

macOS 10.13 以降のデバイスで構成できる新しい設定があります (デバイス>構成>Create>macOS for platform >Templates> プロファイルの種類のデバイス制限)。

• [Game Center の友達の追加をブロックする] ([アプリ ストア、ドキュメントの表示、ゲーム]): ユーザーが Game Center に友達を追加できないようにします。
• [Game Center をブロックする] ([アプリ ストア、ドキュメントの表示、ゲーム]): Game Center が無効になり、Game Center アイコンが [ホーム] 画面から削除されます。
• [Block multiplayer gaming in the Game Center]\(Game Center でマルチプレイヤー ゲームをブロックする\) ([アプリ ストア、ドキュメントの表示、ゲーム]): Game Center を使用するときに、マルチプレーヤー ゲームをブロックします。
• [壁紙の変更をブロックする] ([全般]): 壁紙を変更できないようにします。

現在構成できる設定を確認するには、機能を許可または制限するための macOS デバイスの設定に関する記事を参照してください。

また、iOS/iPadOS Block Multiplayer Gaming の設定名は、ゲーム センターでマルチプレイヤー ゲームをブロックする (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>の種類のデバイス制限) に変更されています。

この設定の詳細については、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

• iOS/iPadOS
• macOS 10.13 以降

追加の iOS および iPadOS ホーム画面レイアウトのグリッド サイズ オプション

iOS/iPadOS デバイスでは、ホーム画面でグリッドサイズを構成できます (>デバイス構成>Create>iOS/iPadOS for platform デバイス>機能 for profile >ホーム画面レイアウト)。 たとえば、グリッド サイズを 4 列 x 5 行に設定できます。

グリッド サイズに次のオプションが追加されます。

• 4 列 x 5 行
• 4 列 x 6 行
• 5 列 x 6 行

現在構成できるホーム画面のレイアウト設定を確認するには、Intune で一般的な iOS および iPadOS 機能を使用するためのデバイスの設定に関する記事を参照してください。

適用対象:

• iOS/iPadOS

仕事用プロファイルがある Android Enterprise の個人所有のデバイス上のエンタープライズ Wi-Fi プロファイルに証明書サーバー名を追加する

Android デバイスでは、仕事用プロファイル (デバイス>構成>Create Android Enterprise for platform >Personal owned Work Profile>Wi-Fi) を使用して、>個人用デバイス上の Wi-Fi ネットワークに証明書ベースの認証を使用できます。

[Enterprise] Wi-Fi の種類を使用し、[EAP の種類] を選択すると、新しい [証明書サーバー名] 設定が表示されます。 この設定を使用して、証明書で使用される証明書サーバーのドメイン名の一覧を追加します。 たとえば、「srv.contoso.com」と入力します。

Android 11 以降のデバイスでは、[Enterprise] Wi-Fi の種類を使用する場合は、証明書サーバーの名前を追加する必要があります。 証明書サーバーの名前を追加しないと、ユーザーに接続の問題が発生します。

Android Enterprise デバイスに対して構成できる Wi-Fi 設定の詳細については、「Microsoft Intune で Android エンタープライズの専用デバイスおよびフル マネージド デバイス用の Wi-Fi 設定を追加する」を参照してください。

適用対象:

• 仕事用プロファイルがある Android Enterprise の個人所有のデバイス

デバイスの登録

デバイスの自動登録に対して、Apple セットアップ アシスタントでの先進認証方法のプレビューが終了

デバイスの自動登録に対して、Apple セットアップ アシスタントでの先進認証方法のプレビューが終了し、一般提供が開始されました。

iOS/iPadOS デバイスでのこの認証方法の使い方については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

macOS デバイスでのこの認証方法の使い方については、「Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する」を参照してください。

デバイス管理

エンドポイント分析のデバイスごとのスコアリング

ユーザー エクスペリエンスに影響を与える可能性のあるデバイスを特定するために、 エンドポイント分析 では、デバイスごとにいくつかのスコアが表示されます。 デバイスごとのスコアを確認すると、ヘルプ デスクへの呼び出しが行われる前に、エンド ユーザーの問題を見つけて解決するのに役立つ場合があります。 エンドポイント分析、スタートアップ パフォーマンス、アプリケーションの信頼性スコアをデバイスごとに表示および並べ替えることができます。 詳細については、「デバイスごとのスコア」を参照してください。

Windows 10 の診断への Windows Hello for Business の追加

Windows Hello for Businessの運用イベント ビューアーから、デバイス 診断Windows 10収集されたデータに情報が追加されました。 「収集されるデータ」を参照してください。

デバイスのセキュリティ

macOS での Microsoft Defender for Endpoint の設定カタログの設定に対する変更

macOS のMicrosoft Defender for EndpointをIntune設定カタログに管理するための 8 つの新しい設定が追加されました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。 これらの設定の詳細については、Mac 用 Microsoft Defender for Endpoint ドキュメントの「macOS 用 Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

• Microsoft Defender - ウイルス対策エンジン:

  • 許可されていない脅威アクション
  • 除外のマージ
  • スキャン履歴のサイズ
  • スキャン結果の保持期間
  • 脅威の種類の設定のマージ

• Microsoft Defender - クラウドによる保護の基本設定:

  • セキュリティ インテリジェンスの自動更新

• Microsoft Defender - ユーザー インターフェイスの基本設定:

  • ユーザーが行ったフィードバック

• Microsoft Defender - ネットワーク保護 - このカテゴリは、カタログ内のMicrosoft Defender for Endpointの新しいカテゴリです。

  • 実施レベル

Tunnel Gateway サーバーがMicrosoft Intune管理センター内から内部ネットワークにアクセスできることを確認する

Tunnel Gateway サーバーが内部ネットワークにアクセスできることを確認するために、Microsoft Intune管理センターに機能が追加されました。ユーザーがサーバーに直接アクセスする必要はありません。 この機能を有効にするには、各 Tunnel Gateway サイトのプロパティにチェック内部ネットワーク アクセスの URL という新しいオプションを構成します。

Tunnel ゲートウェイ サイトに内部ネットワークの URL を追加すると、そのサイト内の各サーバーから定期的にアクセスが試みられ、結果が報告されます。

この内部ネットワークのアクセス チェックの状態は、サーバーの [正常性チェック] タブで "内部ネットワークのアクセス可能性" として報告されます。このチェックの状態の値は次のとおりです。

• 正常 - サーバーがサイトのプロパティで指定された URL にアクセスできます。
• 異常 - サーバーがサイトのプロパティで指定された URL にアクセスできません。
• 不明 - この状態はサイトのプロパティで URL を設定していない場合に表示され、サイトの全体的な状態には影響しません。

この機能を動作させるには、サーバーを最新バージョンの Tunnel ゲートウェイ サーバー ソフトウェアにアップグレードする必要があります。

個人所有の Android Enterprise 仕事用プロファイル用の SafetyNet のハードウェアによるキー構成証明のコンプライアンス設定

Android Enterprise 個人所有の仕事用プロファイル デバイスの新しいデバイス コンプライアンス設定 [必要な SafetyNet 評価の種類](../protect/compliance-policy-create-android-for-work.md#google-play-protect---for-personal owned-work-profile)。 この新しい設定は、[SafetyNet デバイスの構成証明] を [基本的な整合性のチェック] または [基本的な整合性と認定デバイスのチェック] のいずれかに構成すると使用できるようになります。 新しい設定:

[Required SafetyNet evaluation type]\(必須の SafetyNet の評価の種類\):

• [未構成] (既定値は基本評価) – この設定は既定値です。
• [ハードウェアを利用するキー] – SafetyNet の評価にハードウェアを利用するキー構成証明が使用されている必要があります。 ハードウェアでサポートされているキー構成証明をサポートしていないデバイスは、準拠していないとマークされます。

SafetyNet とハードウェアを利用するキー構成証明をサポートしているデバイスの詳細については、Android 向けの SafetyNet ドキュメントで評価の種類に関する記述をご確認ください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• F2 Touch Intune (cBrain A/S 提供)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows クライアント デバイスでグループ ポリシー分析を使用する場合、GPO XML ファイルのサイズをエクスポートして 4 MB に増やしました

Microsoft Intuneでは、グループ ポリシー分析を使用してオンプレミスの GPO を分析し、GPO がクラウドでどのように変換されるかを判断できます。 この機能を使用するには、GPO を XML ファイルとしてエクスポートします。 XML ファイルのサイズは、750 KB から 4 MB に増加しています。

グループ ポリシー分析の使用方法の詳細については、「Microsoft Intuneでグループ ポリシー分析を使用してオンプレミスのグループ ポリシー オブジェクト (GPO) を分析する」を参照してください。

適用対象:

• Windows 11
• Windows 10

デバイス構成レポートの更新

すべてのデバイス構成およびエンドポイント セキュリティ プロファイルが 1 つのレポートにマージされました。 改善されたデータを含む新しい 1 つのレポートで、デバイスに適用されるすべてのポリシーを表示できます。 たとえば、新しい [ポリシーの種類] フィールドでは、プロファイルの種類を区別できます。 また、ポリシーを選択すると、デバイスに適用される設定とデバイスの状態の詳細が表示されます。 ロールベースのアクセス制御 (RBAC) のアクセス許可が、アクセス許可に基づいてプロファイルの一覧をフィルター処理するために適用されています。 Intune管理センターで、[デバイス>] [すべてのデバイス>]の順に選択し、デバイス>の構成を選択して、このレポートが使用可能な場合に表示します。 詳細については、Microsoft Intune のレポートに関する記事を参照してください。

Intune ウイルス対策レポートの新しい詳細

Windows 10 の異常なエンドポイント レポートとウイルス対策エージェント状態レポートの両方に、詳細の 2 つの新しい列が追加されました。

新しい詳細には以下が含まれます。

• MDE オンボードの状態 - (HealthState/OnboardingState) は、デバイス上の Microsoft Defender for Endpoint エージェントの存在を識別します。
• MDE センス実行状態 - (HealthState/SenseIsRunning) デバイス上の Microsoft Defender for Endpoint 正常性センサーの動作状態について報告します。

これらの設定の詳細については、「WindowsAdvancedThreatProtection CSP」を参照してください。

Microsoft Tunnel ゲートウェイ サーバーの正常性状態のしきい値をカスタマイズする

Microsoft Tunnel ゲートウェイの複数のメトリックの正常性状態を決定するしきい値をカスタマイズできるようになりました。

正常性状態メトリックには、状態が 正常、 警告、異常のいずれとして報告されるかを決定する既定値 があります。 メトリックをカスタマイズするときは、メトリックの状態のパフォーマンス要件を変更します。 次のメトリックをカスタマイズできます。

• CPU 使用率
• メモリ使用量
• ディスク領域の使用量
• Latency

しきい値を変更すると、その変更はテナント内のすべての Tunnel サーバーに適用されます。 また、すべてのメトリックを既定値にリセットするオプションを選択することもできます。

しきい値を更新すると、[正常性チェック] タブの値は、更新されたしきい値に基づく状態を反映するように自動的に更新されます。

Microsoft Tunnel ゲートウェイ サーバーの正常性状態の傾向を表示する

グラフの形式で、Microsoft Tunnel ゲートウェイのいくつかの正常性メトリックの正常性状態の傾向を表示できます。 正常性状態の傾向グラフは、[正常性状態] ページから選択した個々のサーバーについて利用できます。

傾向グラフがサポートされるメトリックは次のとおりです。

• 接続
• CPU 使用率
• ディスク領域の使用量
• メモリ使用量
• 平均遅延時間
• スループット

2021 年 7 月

デバイス構成

ビジネス向け共有 iPad として登録された iPadOS デバイスに対するポリシーのサポートの強化 (パブリック プレビュー)

ビジネス向け共有 iPad 用のユーザー割り当てデバイス構成ポリシーのサポートが追加されました。

この変更により、ホーム画面のレイアウトなどの設定や、ユーザー グループに割り当てられているほとんどのデバイス制限が共有 iPad デバイスに適用され、割り当てられたユーザー グループのユーザーがデバイス上でアクティブになります。

個別の証明書コネクタを組み合わせた Certificate Connector for Microsoft Intune

Microsoft Intune用の証明書コネクタがリリースされました。 この新しいコネクタは、SCEP と PKCS 用の個別の証明書コネクタの使用に置き換わるもので、次の機能を備えています。

• 次の機能の 1 つ以上をサポートするように、コネクタの各インスタンスを構成します。
  • SCEP
  • PKCS
  • PFX のインポートされた証明書
  • 証明書の失効
• コネクタ サービスで通常の Active Directory アカウントまたはシステム アカウントを使用する。
• テナントの場所に基づいて、政府機関または商用環境を選択する。
• SCEP と NDES の統合に使用するクライアント証明書を選択する必要がなくなる。
• 最新バージョンのコネクタに自動更新する。 このコネクタの手動更新もサポートされています。
• 改善されたログ記録。

前のコネクタは引き続きサポートされていますが、ダウンロードすることはできません。 コネクタをインストールまたは再インストールする必要がある場合は、新しい Certificate Connector for Microsoft Intune をインストールしてください。

Windows Autopilot 診断ページ (パブリック プレビュー)

Windows 11 で提供される Windows Autopilot 診断ページをサポートするために、[登録ステータス ページ] で使用できる設定は、[インストール エラーに関するログ収集をユーザーに許可する] から [Turn on log collection and diagnostics page for end users]\(エンド ユーザーのログ収集と診断ページを有効にする\) に更新されました。 詳細については、「 Windows Autopilot の新機能」を参照してください。

デバイス管理

フィルターを使用して管理センターで Windows クライアント更新リングIntune割り当てる - パブリック プレビュー

Intune管理センターでは、フィルターを作成し、アプリとポリシーを割り当てるときにこれらのフィルターを使用できます。

Windows クライアント更新リング ポリシーを割り当てるときに、フィルター ([デバイス]>[Windows]>[Windows 10 更新リング]) を使用できます。 OS のバージョンやデバイスの製造元など、デバイスのプロパティに基づいて更新リング ポリシーが取得されるデバイスをフィルター処理できます。 フィルターを作成したら、更新リング ポリシーを割り当てるときにフィルターを使用します。

• フィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。
• Windows 10 更新リング ポリシーの詳細については、「Intune での Windows 10 更新リング ポリシー」を参照してください。

適用対象:

• Windows 11
• Windows 10

[診断情報の収集] リモート アクションが一般提供に移行

[診断情報の収集] リモート アクションを使用すると、エンド ユーザーに中断や待機を発生させることなく、企業のデバイスから診断情報を収集できます。 収集される診断情報には、MDM、オートパイロット、イベント ビューアー、レジストリ キー、構成マネージャー クライアント、ネットワーク、およびその他の重要なトラブルシューティング診断情報が含まれます。 詳細については、「Windows デバイスから診断を収集する」を参照してください。

Microsoft HoloLens 用オートパイロット サポートの一般公開

詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

デバイスのセキュリティ

[どこからでも作業] レポート

エンドポイント分析に [Work from anywhere]\(どこからでも作業する\)という名前の新しいレポートが追加されています。 [どこからでも作業] レポートは、[推奨されるソフトウェア] レポートの進化版です。 新しいレポートには、Windows 10、クラウド管理、クラウド ID、およびクラウド プロビジョニングのメトリックが含まれています。 詳細については、[どこからでも作業] レポートに関する記事を参照してください。

macOS 上の Microsoft Defender for Endpoint 用の設定カタログのサポート

macOS のMicrosoft Defender for Endpointを管理する設定をIntune設定カタログに追加し、macOS でMicrosoft Defender for Endpointを構成しました。

新しい設定は、設定カタログの以下の 4 つのカテゴリの下に、次のように表示されます。 これらの設定の詳細については、"Mac 上の Microsoft Defender for Endpoint" に関するドキュメントの「macOS 上の Microsoft Defender for Endpoint を設定する」を参照してください。

Microsoft Defender - ウイルス対策エンジン:

• 許可される脅威
• パッシブ モードを有効にする
• リアルタイム保護を有効にする
• 除外をスキャンする
• 脅威の種類の設定

Microsoft Defender - クラウドによる保護の設定:

• 診断収集のレベル
• サンプルの自動送信を有効または無効にする
• クラウドによる保護を有効または無効にする

Microsoft Defender - EDR の設定:

• デバイス タグ
• 早期プレビューを有効または無効にする

Microsoft Defender - ユーザー インターフェイスの設定:

• [状態] メニュー アイコンの表示または非表示

Intune アプリ

macOS 用ポータル サイトのシングル サインオン アプリ拡張機能の画面の改善

macOS ユーザーがシングル サインオン (SSO) を使用して自分のアカウントにサインインするように求めるIntune ポータル サイト認証画面が改善されました。 ユーザーは次のことができます。

• SSO を要求しているアプリを確認する。
• [今後このメッセージを表示しない] を選択して今後の SSO 要求をオプトアウトする。
• [基本設定] をポータル サイト>し、[このアカウントのシングル サインオンでサインインするように求めない] の選択を解除して、SSO 要求に再度オプトインします。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• Cisco Systems, Inc. による Intune 用 Webex
• LumApps による Intune 用 LumApps
• CEGB CO., Ltd. による ArchXtract (MDM)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2021 年 6 月

アプリ管理

Android ポータル サイト アプリと Intune アプリにポルトガルのポルトガル語のサポートを追加

Android ポータル サイト アプリと Android Intune アプリで、ポルトガルのポルトガル語 (言語コード pt-PT) がサポートされるようになりました。 Intune では既にブラジルのポルトガル語がサポートされています。

管理対象アプリの状態の表示に関する機能強化

ユーザーまたはデバイスに展開された管理対象アプリに関する状態情報を Intune で表示する方法に対して、いくつかの機能強化が追加されました。

Intune表示しているデバイスのプラットフォームに固有のアプリのみが表示されるようになりました。 また、Android および Windows プラットフォームのパフォーマンスの強化とより多くのサポートも導入しました。

Apple VPP アプリに対する既定のライセンスの種類の更新

Apple ボリューム購入プログラム (VPP) アプリの新しい割り当てを作成すると、既定のライセンスの種類が デバイスになります。 既存の割り当ては変更されません。 Apple VPP アプリの詳細については、「Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• Confidential File Viewer (Hitachi Solutions, Ltd. 提供)
• AventX Mobile Work Orders (STR Software 提供)
• Slack for Intune (Slack Technologies, Inc. 提供)
• Dynamics 365 Sales (Microsoft 提供)
• Leap Work for Intune (LeapXpert Limited 提供)
• iManage Work 10 For Intune (iManage, LLC 提供)
• Microsoft Whiteboard (Microsoft 提供) (Android バージョン)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

iOS および iPadOS デバイスの Safari で Cookie とクロス サイト トラッキングを管理する

iOS/iPadOS デバイスのデバイス制限ポリシーを作成する場合は、Safari アプリ (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>のデバイス制限>組み込みアプリ) で Cookie を管理できます。

Cookie とクロス サイト トラッキングの管理を支援するために、[Safari の Cookie] 設定が更新されました。 この設定の詳細については、iOS および iPadOS デバイスの組み込みアプリに関する記事を参照してください。

適用対象:

• iOS および iPadOS バージョン 4 以降

デバイスの登録

企業の Android の登録時にブラウザー アクセスが自動的に有効に

次のデバイスの新規登録時に、ブラウザー アクセスが自動的に有効になるようになりました。

• Microsoft Entra共有デバイス モードで登録されている Android Enterprise 専用デバイス
• Android Enterprise のフル マネージド デバイス
• Android Enterprise の会社所有の仕事用プロファイル デバイス

準拠デバイスでは、ブラウザーを使用して、条件付きアクセスによって保護されているリソースにアクセスできます。

この変更は、既に登録されているデバイスには影響しません。

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポート

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの Intune サポートが一般提供になりました。 詳細については、「仕事用プロファイルを備えた企業所有 Android Enterprise デバイスの一般提供の発表」を参照してください

デバイス管理

設定カタログの構成プロファイルと、リスク スコアおよび脅威レベルのコンプライアンス ポリシー設定に対してフィルターを使用する

フィルターを使用してポリシーを割り当てる場合、次の操作を実行できます。

• リスク スコアと脅威レベルの設定を使用するコンプライアンス ポリシーに対してフィルターを使用する。
• 設定カタログ プロファイルの種類を使用する構成プロファイルに対してフィルターを使用する。

実行できる操作の詳細については、フィルターでサポートされているプラットフォーム、ポリシー、アプリの種類の一覧に関する記事を参照してください。

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

Android Enterprise のフィルターを作成するときに EnrollmentProfileName プロパティを使用する

Intuneでは、デバイス名、製造元など、さまざまなプロパティに基づいてデバイスを対象とするフィルターを作成できます。 iOS および iPadOS と Windows 10/11 デバイスでは、登録プロファイル名を使用してフィルターを作成できます。 登録プロファイル名プロパティは、Android Enterprise デバイスで使用できます。

構成できるフィルター プロパティを確認するには、フィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集に関する記事を参照してください。

適用対象:

• Android Enterprise

新しい iOS/iPadOS リモート アクションを使用すると、eSIM 携帯ネットワーク プランを更新できます (パブリック プレビュー)

新しい [Update cellular data plan (preview)]\(携帯データネットワーク プランの更新 (プレビュー)\) アクションを使用すると、サポート対象の iOS および iPadOS デバイスで eSIM 携帯ネットワーク プランをリモートでアクティブ化できます。 この機能は現在パブリック プレビューの段階です。 詳細については、携帯データネットワーク プランの更新に関する記事を参照してください。

テナント接続: オフボード

テナントのアタッチを有効にすることで、非常に大きな価値を得ることができますが、まれに、階層のオンボードが必要になることがあります。 たとえば、オンプレミス環境が削除されたディザスター リカバリー シナリオに従って、オフボードする必要がある場合があります。 Microsoft Intune管理センターからConfiguration Manager階層を削除するには、[テナント管理]、[コネクタとトークン] の順に選択し、[Microsoft Endpoint Configuration Manager] を選択します。 オフボードするサイトの名前を選択し、[削除] を選択します。 詳細については、「テナントのアタッチの有効化」を参照してください。

デバイスのセキュリティ

Android 上の Microsoft Tunnel 用 Microsoft Defender for Endpoint のプレビューが終了

Android 上で Microsoft Tunnel の機能をサポートする Microsoft Defender for Endpoint アプリのプレビューが終了し、一般提供が開始されました。 この変更により:

• Defender for Endpoint を Android 上のトンネル アプリとして使用するようにオプトインする必要がなくなりました。
• Android 用のスタンドアロン アプリは現在非推奨となっており、2022 年 1 月 31 日にサポートが終了すると Google アプリ ストアから削除されます。

更新された Android 向けの Microsoft Tunnel アプリ用 Microsoft Defender for Endpoint アプリをダウンロードして使用することを計画してください。 プレビューに参加していた場合は、Google Play ストアの新しいバージョンの Defender for Endpoint を使用してデバイスを更新してください。 スタンドアロン トンネル アプリを引き続き使用する場合は、スタンドアロン アプリのサポートが終了する前に、Microsoft Defender for Endpoint アプリへの移行を計画してください。

iOS 用のスタンドアロン トンネル アプリはプレビューのままです。

監視とトラブルシューティング

プロアクティブな修復のエクスポート オプション

プロアクティブな修復は、ユーザーのデバイスに関する一般的なサポートの問題を、ユーザーが問題の存在に気付く前に検出して修正することができるスクリプト パッケージです。 返された出力を簡単に分析できるように、出力を .csv ファイルとして保存できるエクスポート オプションが追加されました。 詳細については、「プロアクティブな修復」を参照してください。

更新された証明書レポート

現在使用されているデバイス証明書を示す [証明書] レポートが更新され、レポートを検索、ページング、並べ替え、エクスポートする機能が強化されました。 Microsoft Intune管理センターで、[デバイス>モニター>証明書] を選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

2021 年 5 月

アプリ管理

Android と iOS および iPadOS ユーザー向けの条件付きアクセスのメッセージングの改善

Microsoft Entra IDは、条件付きアクセス画面の文言を更新し、ユーザーに対するアクセスとセットアップの要件をより適切に説明しました。 Android および iOS/iPadOS ユーザーは、Intune管理に登録されていないデバイスから企業リソースにアクセスしようとすると、この画面が表示されます。 この変更の詳細については、「Microsoft Entra IDの新機能」を参照してください。

アプリ インストールの失敗数を表示する新しいタイル

[ホーム]、[ダッシュボード]、[アプリの概要] ペインに、テナントでのアプリ インストールのエラー数を示す更新されたタイルが表示されるようになりました。 Microsoft Intune管理センターで、[ホーム] を選択して [ホーム] ウィンドウを表示するか、[ダッシュボード] を選択して [ダッシュボード] ウィンドウを表示します。 [アプリ]>[概要] を選択して、[アプリの概要] ペインを表示します。 詳細については、「Intune レポート」を参照してください。

デバイス構成

設定カタログの [設定ごとの状態] レポート

設定カタログ プロファイルを作成すると、成功、競合、エラーなど、各状態のデバイスの数を確認できます (デバイス>構成>でポリシーが選択されます)。 このレポートには、次のような [設定ごとの状態] が含まれます。

• 特定の設定の影響を受けるデバイスの合計数を表示します。
• 検索、並べ替え、フィルター処理、エクスポート、前後のページへの移動を行うためのコントロールがあります。

設定カタログの詳細については、設定カタログを使用した Windows と macOS のデバイスでの設定の構成に関する記事を参照してください。

iOS/iPadOS 14.5 デバイス以降の新しい設定

iOS/iPadOS デバイスのデバイス制限ポリシーを作成する場合、新しい設定 (デバイス>の構成>Create>iOS/iPadOS のプラットフォーム>のプロファイルのデバイス制限) があります。

• [Apple Watch によるロック自動解除を禁止する]: [はい] に設定すると、ユーザーは Apple Watch でデバイスのロックを解除できなくなります。
• [Allow users to boot devices into recovery mode with unpaired devices]\(ペアリングされていないデバイスで回復モードにデバイスをブートすることをユーザーに許可する): [はい] に設定すると、ユーザーはペアリングされていないデバイスでデバイスを回復にブートできます。
• [ディクテーションのために Siri ブロックする]: [はい] に設定すると、Siri サーバーへの接続が無効になり、ユーザーが Siri を使用してテキストをディクテーションできなくなります。

これらの設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

• iOS/iPadOS 14.5 以降

デバイス管理

仕事用プロファイルを備えた企業所有 Android Enterprise デバイスでの再起動リモート操作のサポート終了

仕事用プロファイルを備えた企業所有デバイスでの [再起動] リモート操作のサポートが終了しました。 [再起動] ボタンは、仕事用プロファイルを備えた企業所有デバイスの [デバイス] ページから削除されました。 デバイスの一括操作を使用してデバイスを再起動しようとしても、企業所有の仕事用プロファイル デバイスは再起動されず、それらのデバイス操作は [サポートされていません] とマークされて報告されます。 デバイスの一括操作に含まれるその他のデバイスの種類は、その操作に対して通常どおり再起動されます。

Windows 10/11 Enterprise マルチセッション サポート (パブリック プレビュー)

Windows 10/11 Enterprise マルチセッションは、Azure 上の Azure Virtual Desktop 専用の新しいリモート デスクトップ セッション ホストであり、複数の同時ユーザー セッションを許可します。 この機能により、ユーザーは使い慣れた Windows クライアント エクスペリエンスが得られますが、IT はマルチセッションのコストメリットを享受でき、既存のユーザーごとの Microsoft 365 ライセンスを使用できます。

Microsoft Intune では、共有のユーザーレス Windows クライアントなどのデバイスベースの構成で、マルチセッション リモート デスクトップを管理することができます。 ハイブリッド参加済み VM Microsoft Entraを自動的に登録し、OS スコープ のポリシーとアプリを対象Intuneできるようになりました。

次の操作を行うことができます:

• Azure の Azure Virtual Desktop 専用の Windows 10/11 Enterprise マルチセッション SKU を使用して、複数の同時実行ユーザー セッションをホストする。
• 共有のユーザーレス Windows 10/11 Enterprise クライアントなどのデバイスベースの構成で、マルチセッション リモート デスクトップを管理する。
• ハイブリッド参加済み仮想マシンMicrosoft Entra Intuneに自動的に登録し、デバイス スコープ ポリシーとアプリを使用して対象にします。

詳細については、「Windows 10/11 Enterprise マルチセッション リモート デスクトップ」を参照してください。

フィルターを使用して管理センターでポリシー Intune割り当てる

アプリまたはポリシーをグループに割り当てるときに使用できる新しい [フィルター] オプションがあります。 フィルターを作成するには、次の場所に移動します。

• デバイス>フィルター>作成
• アプリ>フィルター>作成
• テナントの管理>フィルター>作成

デバイスのプロパティを使用して、影響を受けるデバイスのスコープをフィルター処理できます。 たとえば、OS のバージョン、デバイスの製造元などをフィルター処理できます。 フィルターを作成した後、ポリシーまたはプロファイルを割り当てるときにフィルターを使用できます。

詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 11
• Windows 10

Intune ポリシーを使用して Windows 10/11 更新プログラムのインストールを迅速化する

パブリック プレビューでは、IntuneのWindows 10品質更新プログラム ポリシーを使用して、Intuneで管理するデバイスへの最新のWindows 10/11 セキュリティ更新プログラムのインストールを迅速化できます。

更新プログラムの適用を高速化すると、デバイスでの更新プログラムのダウンロードとインストールは可能な限り早く開始され、デバイスで更新プログラムがチェックインされるのを待つ必要がなくなります。 更新プログラムのインストールが高速化されることを除けば、このポリシーを使用しても、更新プログラムの展開に関する既存のポリシーとプロセスはそのまま残ります。

迅速化された更新を監視するのに役立つように、次のオプションを使用できます。

• Windows の迅速化された更新レポート
• 迅速化された更新エラー デバイス レポート

デバイスのセキュリティ

Windows セキュリティ エクスペリエンス プロファイルによる 3 つの状態の設定のサポート

Windows 10デバイスの場合、エンドポイント セキュリティ ウイルス対策ポリシーの Windows セキュリティ エクスペリエンス プロファイルで、bi-state 設定がトライステート設定に更新されました。

プロファイルのほとんどの設定で、以前は [はい] と [未構成] の 2 つのオプションのみがサポートされていました。 今後は、これらの同じ設定に [はい]、[未構成]、および新しいオプションである [いいえ] が含まれるようになりました。

• 既存のプロファイルについては、[未構成] に設定された設定は [未構成] のままになります。 新しいプロファイルを作成したり、既存のプロファイルを編集したりするときに、明示的に [いいえ] を指定できるようになりました。

また、次の情報は、Windows セキュリティ アプリ設定の [ウイルスと脅威の保護を非表示にする] 領域の構成と、その子アプリ設定の [ランサムウェア データ回復を非表示にする] オプションに適用Windows セキュリティ。

• 親設定 (ウイルスと脅威の保護領域を非表示にする) が [未構成 ] に設定され、子設定が [はい] に設定されている場合、親と子の設定は [未構成] に設定されます。

新しい Microsoft Tunnel Gateway バージョン

Microsoft Tunnel Gateway の 新しいバージョン がリリースされました。 これには、次の変更が含まれます。

• 軽微なバグ修正。
• すべての依存関係のセキュリティ更新プログラムを含むイメージの更新。

自動的に更新するように構成されているサイトの場合、Tunnel Gateway サーバーは自動的に新しいバージョンに更新されます。 手動で更新するように構成されているサイトの場合は、更新プログラムを承認する必要があります。

政府クラウド向けの Jamf で管理されている macOS デバイスの条件付きアクセスが利用可能に

Intune のコンプライアンス エンジンを使用して、政府クラウド向けの Jamf で管理されている macOS デバイスを評価できるようになりました。 これを行うには、Jamf 用コンプライアンス コネクタをアクティブにします。 詳細については、「コンプライアンスのために Jamf Pro を Intune と統合する」を参照してください。

Microsoft Tunnel Gateway の変更

今月は、Microsoft Tunnel Gateway について発表する更新プログラムが 2 つあります。

• Microsoft Tunnel Gateway の一般提供が開始
  今回のサービス リリースでは、Microsoft Tunnel Gateway のプレビューが終了し、一般提供されています。 Microsoft Tunnel Gateway サーバー コンポーネントのプレビューは終了しましたが、次の Microsoft Tunnel クライアント アプリはプレビューのままです。

  • Android 用 Microsoft Tunnel スタンドアロン アプリ
  • iOS 用 Microsoft Tunnel スタンドアロン アプリ
  • Android 用 Microsoft Tunnel をサポートする Microsoft Defender for Endpoint

• Android 用 Microsoft Defender for Endpoint の Microsoft Tunnel の VPN プロファイルでのカスタム設定のサポート

  Microsoft Defender for Endpoint を Android 用の Microsoft Tunnel クライアント アプリとして、および Mobile Threat Defense (MTD) アプリとして使用する場合、Microsoft Tunnel の VPN プロファイルでカスタム設定を使用して Microsoft Defender for Endpoint を構成できるようになりました。

  このシナリオでは、カスタム設定を使用して VPN プロファイルで Microsoft Defender for Endpoint を構成することにより、Microsoft Defender for Endpoint 用に個別のアプリ構成プロファイルを展開する必要がなくなります。

  次のプラットフォームでは、VPN プロファイルでカスタム設定を使用するか、Microsoft Defender for Endpoint 用の個別のアプリ構成プロファイルを使用するかを選択できます。

  • Android Enterprise のフル マネージド
  • Android Enterprise の企業所有の仕事用プロファイル

  ただし、Android Enterprise の個人所有の仕事用プロファイルの場合は、カスタム設定で VPN プロファイル "のみ" を使用してください。 Microsoft Defender for Endpoint用の個別のアプリ構成プロファイルと Microsoft Tunnel VPN プロファイルを受け取る個人所有の仕事用プロファイル デバイスは、Microsoft Tunnel に接続できない場合があります。

監視とトラブルシューティング

アプリのインストール状態を提供する新しい運用レポート

新しい[アプリ インストールの状態] レポートには、アプリとバージョンおよびインストールの詳細の一覧が表示されます。 アプリのインストールの詳細は、一覧の個別の列として含まれています。 また、インストールの詳細には、デバイスとユーザーのアプリのインストールと失敗の合計が表示されます。 このレポートでは、並べ替えと検索を行うこともできます。 Microsoft Intune管理センターで、[アプリモニター>アプリ>のインストール状態] を選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

デバイスに基づくアプリのインストール状態を提供する新しい運用レポート

新しい[デバイスのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するデバイスと状態の情報の一覧が表示されます。 デバイスに関連するアプリのインストールの詳細には、[UPN]、[プラットフォーム]、[バージョン]、[状態]、[状態の詳細]、[最後のチェックイン] が含まれます。 このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Intune管理センターで、[アプリ] [すべてのアプリ>>] [アプリ>] [デバイスのインストール状態] の選択を選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

ユーザーに基づくアプリのインストール状態を提供する新しい運用レポート

新しい[ユーザーのインストール状態] レポートには、選択したアプリに基づいて、特定のアプリに関連するユーザーと状態の情報の一覧が表示されます。 ユーザーに関連するアプリのインストールの詳細には、[名前]、[UPN]、[失敗数]、[インストール数]、[保留中]、[インストールされていません]、[該当なし] が含まれます。 このレポートでは、並べ替え、フィルター、検索を行うこともできます。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>][アプリ>の選択] [ユーザーインストールの状態] を選択します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

Graph API v1.0 またはベータを使用して Intune レポートをエクスポートする

Intune のレポート エクスポート API が Graph v1.0 で使用できるようになりました。また、Graph ベータでも引き続き使用できます。 詳細については、「レポートのIntune」および「Graph API を使用してレポートIntuneエクスポートする」を参照してください。

スクリプト

Android オープンソース プロジェクト デバイスでサポートされる新しいプロパティ値

managementAgentType 列挙型で IntuneAosp プロパティ値がサポートされるようになりました。 このプロパティの ManagementAgentTypeID 値は 2048 です。 これは、Intune の AOSP (Android オープン ソース プロジェクト) デバイス用 MDM で管理されるデバイスの種類を表します。 詳細については、Intune Data Warehouse API のベータ版セクションの managementAgentType に関するページを参照してください。

2021 年 4 月

アプリ管理

iOS 用ポータル サイトのプライバシー画面を更新

ポータル サイトプライバシー画面にさらにテキストを追加し、収集されたデータポータル サイト使用する方法を明確にしました。 これにより、デバイスが組織のポリシーに準拠しているかどうかを確認する場合にのみ収集されたデータが使用されることが、ユーザーに対して保証されます。

デバイスによって割り当てられた必須アプリのインストール状態

Windows ポータル サイトまたは Intune ポータル サイト Web サイトの [インストール済みアプリ] ページから、エンド ユーザーはデバイスによって割り当てられた必須アプリのインストール状態と詳細を表示できます。 この機能は、ユーザーによって割り当てられた必須アプリのインストール状態と詳細に加えて提供されます。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリを構成する方法」を参照してください。

コンソールに表示される Win32 アプリのバージョン

Win32 アプリのバージョンがMicrosoft Intune管理センターに表示されるようになりました。 アプリのバージョンは [すべてのアプリ] 一覧に表示されるようになります。ここで、Win32 アプリでフィルター処理して、オプションの [バージョン] 列を選択できます。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>列>のバージョン] を選択して、アプリのバージョンをアプリの一覧に表示します。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

iOS デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンド ユーザーが iOS デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。 この設定により、エンド ユーザーが iOS デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 管理センター Microsoft Intuneで、[アプリ>アプリ保護 ポリシー] を選択します。 詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

Apple セットアップ アシスタントでの新しい先進認証方法 (パブリック プレビュー)

自動デバイス登録プロファイルを作成するときに、新しい認証方法である先進認証を備えたセットアップ アシスタントを選択できます。 この方法を使用すると、セットアップ アシスタントのすべてのセキュリティが提供される一方で、Intune ポータル サイトによってデバイスへのインストールが行われている間はエンド ユーザーがデバイスを使用できない状態になるという問題が回避されます。 ユーザーは、セットアップアシスタント画面で多要素認証Microsoft Entra使用して認証する必要があります。 条件付きアクセスによって保護された企業リソースにアクセスするには、この機能には、ポータル サイト アプリでの登録後に別のMicrosoft Entraサインインが必要です。 正しいポータル サイトのバージョンが、必要なアプリとして iOS/iPadOS デバイスに自動的に送信されます。 macOS の場合、デバイスで Intune ポータル サイトを取得するためのオプションが macOS アプリ用の Intune ポータル サイトの追加に関する記事にあります。

ユーザーがホーム画面に移動すると登録は完了し、ユーザーは条件付きアクセスによって保護されていないリソースにデバイスを自由に使用できます。 ユーザー アフィニティは、ユーザーがセットアップ画面の後にホーム画面に移動したときに確立されます。 ただし、ポータル サイトサインインするまで、デバイスはMicrosoft Entra IDに完全に登録されません。 ポータル サイトサインインするまで、デバイスはMicrosoft Entra 管理センター内の特定のユーザーのデバイス リストに表示されません。 テナントでこれらのデバイスまたはユーザーに対して多要素認証が有効になっている場合、セットアップ アシスタント中に登録中に多要素認証を完了するように求められます。 多要素認証は必要ありませんが、必要に応じて条件付きアクセス内のこの認証方法で使用できます。

この方法には、ポータル サイトのインストールに関して次のオプションがあります。

• iOS/iPadOS の場合: iOS/iPadOS でこのフローを選択しても、[ポータル サイトのインストール] の設定は表示されません。 ポータル サイト アプリは、エンド ユーザーがホーム画面に移動したときに、デバイス上の正しいアプリ構成ポリシーを持つデバイス上で必要なアプリになります。 条件付きアクセスによって保護され、完全にMicrosoft Entra登録されるリソースにアクセスするには、登録後、ユーザーはMicrosoft Entra資格情報を使用してポータル サイト アプリにサインインする必要があります。
• macOS の場合: ユーザーはポータル サイトにサインインしてMicrosoft Entra登録を完了し、条件付きアクセスによって保護されたリソースにアクセスする必要があります。 エンド ユーザーは、ホーム ページにランディングした後、ポータル サイト アプリにロックされません。 ただし、企業リソースにアクセスして準拠するには、ポータル サイト アプリへの別のサインインが必要です。 詳細については、「macOS ポータル サイト アプリを追加する」を参照してください。

iOS/iPadOS デバイスでのこの認証方法の使い方については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

macOS デバイスでのこの認証方法の使い方については、「Apple Business Manager または Apple School Manager を使用して macOS デバイスを自動登録する」を参照してください。

Android Enterprise デバイス用に更新された OEMConfig ポリシー レポート

Android Enterprise デバイスでは、OEMConfig ポリシーを作成して、OEM 固有の設定を追加、作成、カスタマイズすることができます。 ポリシー レポートが更新され、ユーザー、デバイス、およびポリシーの設定ごとに成功が表示されるようになりました。

詳細については、「Microsoft Intune で、OEMConfig を使って Android Enterprise デバイスを使用および管理する」を参照してください。

適用対象:

• Android Enterprise

14.2 以降を実行している iOS/iPadOS デバイスで NFC ペアリングを無効にする

監視対象の iOS/iPadOS デバイスでは、NFC を無効にするデバイス制限プロファイルを作成できます (>デバイス構成>Create>iOS/iPadOS for platform プロファイル>>のデバイス制限接続済みデバイス>の近距離通信 (NFC) を無効にします)。 この機能を無効にすると、デバイスは他の NFC 対応デバイスとペアリングできなくなり、NFC が無効になります。

この設定を確認するには、「Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

• iOS/iPadOS 14.2 以降

デバイス管理

Windows クライアント デバイス用のデバイスの検索リモート操作

新しいデバイスの検索リモート アクションを使用して、デバイスの地理的な場所を取得できるようになりました。 サポートされているデバイスには以下が含まれます。

• Windows 11
• Windows 10 バージョン 20H2 (10.0.19042.789) 以降
• Windows 10 バージョン 2004 (10.0.19041.789) 以降
• Windows 10 バージョン 1909 (10.0.18363.1350) 以降
• Windows 10 バージョン 1809 (10.0.17763.1728) 以降

新しいアクションを表示するには、Microsoft Intune管理センターにサインインし、[デバイス>] [Windows>] [デバイス>の検索] の順に選択します。

この操作は、現在の Apple デバイス用のデバイスの検索操作と同じように機能します (ただし、紛失モードの機能は含まれません)。

このリモート アクションが機能するには、デバイスでロケーション サービスが有効になっている必要があります。 Intune でデバイスの場所をフェッチできず、ユーザーがデバイスの設定で既定の場所を設定している場合は、既定の場所が表示されます。

Android 5.x のサポートを終了するMicrosoft Intune

Microsoft Intune Android 5.x デバイスはサポートされなくなりました。

会社の Android Enterprise デバイス用の電話番号表示のサポート

会社の Android Enterprise デバイス (専用、フル マネージド、フル マネージドと仕事用プロファイルでフル マネージド) の場合、関連付けられているデバイスの電話番号がMicrosoft Intune管理センターに表示されるようになりました。 デバイスに複数の電話番号が関連付けられている場合は、1 つの電話番号だけが表示されます。

iOS および iPadOS デバイスでの EID プロパティのサポート

eSIM 識別子 (EID) は、埋め込み SIM (eSIM) の一意の識別子です。 iOS および iPadOS デバイスのハードウェアの詳細ページに、EID プロパティが表示されるようになりました。

Intune共有デバイスのプロビジョニングMicrosoft Entraサポート

Microsoft Authenticator が共有デバイス モードに自動的に構成された Android Enterprise 専用デバイスMicrosoft Entraプロビジョニングする機能が一般公開されました。 この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスの Intune 登録を設定する」を参照してください。

機能更新プログラム プロファイルのサポート終了の詳細を表示する

Intuneを使用して展開Windows 10機能更新プログラムのサービス終了を計画するために、Microsoft Intune管理センターの Feature Updates プロファイルに関する新しい情報列があります。

最初の新しい列に状態が表示されます。 この状態は、プロファイルの更新がサービス終了に近いか、または終了したタイミングを識別します。 2 番目の列には、サービス終了日が表示されます。 更新プログラムがサービスの終了に達すると、デバイスに展開されなくなり、ポリシーをIntuneから削除できます。

新しい列と詳細は次のとおりです。

• [サポート] – この列には、機能更新プログラムの状態が表示されます。

  • [サポートされています] – 配布で更新プログラムがサポートされています。
  • [サポートの終了が近づいています] – 更新プログラムはサービス終了日の 2 か月以内です。
  • [サポートされていません] – 更新プログラムはサポートされなくなり、サービス終了日に到達しました。

• [サポート終了日] – この列には、プロファイルの機能更新プログラムのサービス終了日が表示されます。

Windows 10 リリースのサービス終了日の詳細については、Windows リリースの正常性に関するドキュメントの「Windows 10 リリース情報」を参照してください。

デバイスのセキュリティ

ウイルス対策プロファイルを使用して、デバイス上のウイルス対策除外リストのマージを禁止または許可する

"Microsoft Defender ウイルス対策" プロファイルの設定として Defender ローカル管理者によるマージを構成して、Windows 10 デバイスで Microsoft Defender ウイルス対策のローカル除外リストのマージをブロックできるようになりました。

Microsoft Defender ウイルス対策の除外リストをデバイスでローカルに構成し、Intune ウイルス対策ポリシーによって指定できます。

• 除外リストがマージされると、ローカルで定義された除外がIntuneからの除外とマージされます。
• マージがブロックされると、ポリシーからの除外のみがデバイスで有効になります。

この設定と関連設定の詳細については、「Windows Defender ウイルス対策の除外」を参照してください。

Surface Duo デバイスでの条件付きアクセスのフローの改善

Surface Duo デバイスでの条件付きアクセス フローを合理化しました。 これらの変更は自動的に行われるため、管理者による構成の更新は必要ありません。 ([エンドポイント セキュリティ]>[条件付きアクセス])

Duo デバイスの場合:

• 条件付きアクセスによってリソースへのアクセスがブロックされると、ユーザーはデバイスにプレインストールされているポータル サイト アプリにリダイレクトされるようになります。 以前は、ポータル サイト アプリの Google Play ストアの一覧に送られていました。
• 個人所有の仕事用プロファイルとして登録されているデバイスの場合、ユーザーが仕事用の資格情報を使用して個人用バージョンのアプリにサインインしようとすると、仕事用バージョンのポータル サイトに送信されて、ガイダンス メッセージが表示されます。 以前は、ポータル サイト アプリの個人用バージョンの Google Play ストアの登録情報にユーザーが送信されていました。 ガイダンス メッセージを表示するには、個人用ポータル サイト アプリを再度有効化する必要があります。

Tunnel ゲートウェイ サーバーのアップグレードに適用されるオプションを構成する

Microsoft Tunnel ゲートウェイ サーバーのアップグレードの管理に役立つオプションが追加されました。 新しいオプションはサイトの構成に適用され、次のものが含まれます。

• 各トンネル サイトのメンテナンス期間を設定します。 この期間により、そのサイトに割り当てられている Tunnel サーバーのアップグレードをいつ開始できるかが定義されます。

• サイトのすべてのサーバーでアップグレードを続行する方法を決定する、サーバーのアップグレードの種類を構成します。 以下から選択できます。

  • 自動 - サイトのすべてのサーバーは、新しいバージョンのサーバーが使用可能になった後、できるだけ早くアップグレードされます。
  • 手動 - サイトのサーバーは、管理者が明示的にアップグレードの許可を選択した後でのみアップグレードされます。

• [正常性チェック] タブに、サーバーのソフトウェア バージョンの状態が表示されるようになりました。これにより、Tunnel サーバー ソフトウェアが古くなったことがわかります。 状態には以下が含まれます。

  • 正常 - 最新のソフトウェア バージョンでの最新の状態。
  • 警告 - 1 つ前のバージョン
  • 異常 - 2 つ以上前のバージョン

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• Omnipresence Go (Omnipresence Technologies, Inc.)
• Comfy (Building Robotics, Inc.)
• M-Files for Intune (M-Files Corporation)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

新しい運用レポートのデータをフィルター処理するための新しい UI

新しい運用レポートで、データ フィルターを追加するための新しい UI がサポートされるようになりました。 新しいフィルター ピルにより、レポート データのスライス、調整、表示に役立つエクスペリエンスが向上します。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

エンドポイント分析での Windows 再起動頻度レポートの一般提供開始

現在、エンドポイント分析の [スタートアップ パフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。 ただし、再起動頻度は、ブルー スクリーンのために毎日再起動するデバイスは、起動時間が速い場合でもユーザー エクスペリエンスが低下するため、ユーザー エクスペリエンスに影響を与える可能性があります。 問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するレポートが追加されました。 詳細については、「エンドポイント分析での再起動頻度」を参照してください。

2021 年 3 月

アプリ管理

macOS デバイス用の Intune 管理エージェントがユニバーサル アプリに

Microsoft Intuneから macOS デバイスのシェル スクリプトまたはカスタム属性をデプロイすると、Apple シリコン Mac マシン上でネイティブに実行されるIntune管理エージェント アプリの新しいユニバーサル バージョンがデプロイされます。 同じデプロイにより、x64 バージョンのアプリが Intel Mac マシンにインストールされます。 Apple シリコンを搭載した Mac で x64 (Intel) バージョンのアプリを実行するには、Rosetta 2 が必要です。 Apple シリコン Mac に Rosetta 2 を自動的にインストールするには、Intuneにシェル スクリプトをデプロイします。 詳細については、「macOS 用の Microsoft Intune 管理エージェント」を参照してください。

macOS デバイス用の Microsoft 365 Apps がユニバーサル アプリになる

Microsoft Intuneから macOS デバイス用のMicrosoft 365 Appsを展開すると、Apple シリコン Mac でネイティブに実行される新しいユニバーサル バージョンのアプリがデプロイされるようになりました。 同じデプロイでは、macOS 10.14 以降を実行している Intel Mac に x64 バージョンのアプリがインストールされます。 macOS 用のMicrosoft 365 Appsを追加するには、Microsoft Intune管理センター>の[アプリ>] [すべてのアプリ>] [追加] の順に選択します。 [Microsoft 365 Apps] の [アプリの種類] の一覧で、[macOS] を選択します。 詳細については、「Microsoft Intuneを使用して Microsoft 365 を macOS デバイスに割り当てる」を参照してください。

Microsoft Launcher アプリのその他の構成キー

Android Enterprise の会社所有フル マネージド デバイスで、Microsoft Launcher 用のフォルダー構成設定を設定できるようになりました。 アプリ構成ポリシーと構成キーの値を使用すると、フォルダーの形状、全画面で開かれるフォルダー、フォルダーのスクロール方向に関する値を設定できます。 また、アプリと Web リンクの配置に加えて、ホーム画面へのフォルダーの配置も可能です。 また、エンド ユーザーがアプリ内のフォルダー スタイルの値を変更できるようにすることもできます。 Microsoft Launcher の詳細については、「Intune で Android Enterprise 用に Microsoft Launcher を構成する」を参照してください。

Intune での Win32 アプリの置き換えのサポート

Intune でのアプリの置き換えのパブリック プレビューが有効になりました。 アプリ間の置き換えの関係を作成できるようになりました。これにより、既存の Win32 アプリを更新して、同じアプリの新しいバージョンまたは完全に異なる Win32 アプリに置き換えることができます。 詳細については、Win32 アプリ管理に関するページを参照してください。

Android デバイスでのアプリの条件付き起動の最大 OS バージョン設定

Intune アプリ保護ポリシーを使用して新しい条件付き起動設定を追加し、エンド ユーザーが Android デバイスでプレリリース版またはベータ版の OS ビルドを使用して職場または学校アカウントのデータにアクセスできないようにすることができます。 この設定により、エンド ユーザーが Android デバイスで新しい OS 機能を活発に使用する前に、すべての OS リリースを詳しく調べることができます。 管理センター Microsoft Intune、この設定は Apps>アプリ保護 ポリシーにあります。 詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

デバイス構成

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2101.16.0 の新しいバージョンをリリースしました。 この更新では PFX の作成フローが改善され、コネクタをホストするオンプレミスのサーバー上での証明書要求ファイルの重複が防止されます。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

Windows 10/11 および Windows Holographic for Business の VPN 接続の種類として Cisco AnyConnect を使用する

カスタム プロファイルを使用しなくても、接続タイプとして CiscoAnyConnect を使用して VPN> プロファイルを作成できます (>デバイスの構成>Create>Windows 10以降のプロファイルの場合>は Cisco AnyConnect for connection type)。

このポリシーには、Microsoft Store で入手できる Cisco AnyConnect アプリが使用されます。 Cisco AnyConnect デスクトップ アプリケーションは使用されません。

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

• Windows 11
• Windows 10
• Windows Holographic for Business

Windows 10/11 デバイスでシングル アプリ キオスク モードの Microsoft Edge バージョン 87 以降を実行する

Windows クライアント デバイスでは、1 つのアプリを実行するキオスクとして実行するようにデバイスを構成するか、プラットフォーム テンプレート>キオスク用に多数のアプリ (デバイス>構成>Create>Windows 10 以降>を実行します。 シングル アプリ モードを選択すると、次のことができます。

• Microsoft Edge バージョン 87 以降を実行します。
• [Add Microsoft Edge legacy browser]\(Microsoft Edge レガシ ブラウザーを追加する\) を選択して、Microsoft Edge バージョン 77 以前を実行します。

キオスク モードで構成できる設定の詳細については、Windows クライアント デバイス用のキオスク設定に関するページを参照してください。

適用対象:

• シングル アプリ キオスク モードの Windows 11
• シングル アプリ キオスク モードの Windows 10
• Microsoft Edge バージョン 87 以降
• Microsoft Edge バージョン 77 以前

管理用テンプレートが設定カタログで使用可能になり、設定がさらに多くなった

Intuneでは、管理用テンプレートを使用して、ポリシー (デバイス>の構成>Create Windows 10>以降のプラットフォーム>のプロファイルの管理用テンプレート) を作成できます。

[設定カタログ] では、管理用テンプレートも使用でき、さらに多くの設定 (デバイス>の構成>Create>Windows 10以降のプラットフォーム>の [プロファイルの設定カタログ] ) を使用できます。

このリリースでは、管理者は、オンプレミスのグループ ポリシーにのみ存在し、クラウドベースの MDM では使用できない他の設定を構成できます。 これらの設定は 、Windows Insider クライアント エンドポイント ビルドで使用でき、1909、2004、2010 などの市販の Windows バージョンにバックポートされる場合があります。

管理用テンプレートを作成し、Windows によって公開されているすべての設定を使用する場合は、設定カタログを使用します。

詳細については、以下を参照してください。

• Windows 10/11 テンプレートを使用してグループ ポリシー設定を構成する
• 設定カタログを使用して設定を構成する

適用対象:

• Windows 11
• Windows 10

Microsoft Edge の設定が増え、macOS の設定カタログで設定カテゴリが削除される

macOS デバイスでは、設定カタログを使用して Microsoft Edge バージョン 77 以降 (デバイス>構成>Create>macOS for platform >Settings Catalog) を構成できます。

今回のリリースの内容:

• さらに Microsoft Edge の設定が追加されています。
• 一時的に、設定カテゴリが削除されています。 特定の設定を検索するには、[Microsoft Edge - すべて] カテゴリを使用するか、設定名を検索します。 設定の一覧については、「 Microsoft Edge - ポリシー」を参照してください。

設定カタログの詳細については、「設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• macOS
• Microsoft Edge

クラウド構成の Windows 10/11 は、ガイド付きシナリオとして利用可能

クラウド構成の Windows 10/11 は、Microsoft によって推奨される Windows 10/11 のデバイス構成です。 クラウド構成の Windows 10/11 はクラウド用に最適化されており、特化されたワークフロー ニーズを持つユーザー向けに設計されています。

自動的にアプリを追加し、クラウド構成の Windows 10/11 デバイスを構成するポリシーを作成する、ガイド付きシナリオがあります。

詳細については、クラウド構成の Windows 10/11 のガイド付きシナリオに関する記事を参照してください。

適用対象:

• Windows 11
• Windows 10

デバイスの登録

Enrollment Program トークンの同期状態

[Enrollment Program トークン] ペインに一覧表示される自動デバイス登録トークンの同期状態は、混乱を最小限に抑えるために削除されました。 トークンごとの情報は引き続き表示されます。 Enrollment Program トークンは、Apple Business Manager と Apple School Manager への自動デバイス登録を管理するために使用されます。 Microsoft Intune管理センターでは、iOS/iPadOS デバイスのトークン一覧を見つけるには、[デバイス>] [iOS/iPadOS iOS/iPadOS>登録>プログラム トークン] を選択します。 macOS デバイスのトークン リストを表示するには、[デバイス]>[macOS]>[macOS 登録]>[Enrollment Program トークン] を選択します。 詳細については、「 iOS/iPadOS デバイスを自動的に登録 する」および「 macOS デバイスを自動的に登録する」を参照してください。

デバイス管理

登録トークンあたりの iOS/iPadOS および macOS デバイスの推奨最大数の引き上げ

以前は、自動デバイス登録 (ADE) トークンごとの iOS/iPadOS または macOS デバイスの数を 60,000 以下にすることが推奨されていました。 この推奨される制限は、トークンあたり 200,000 デバイスに引き上げられました。 ADE トークンの詳細については、「Apple の Automated Device Enrollment を使用して iOS/iPadOS デバイスを自動登録する」を参照してください。

[すべてのデバイス] ビューとエクスポート レポートの列名の更新

列のデータを正確に反映するために、[すべてのデバイス] ビューの列名とエクスポート レポートが プライマリ ユーザー UPN、 プライマリ ユーザーの電子メール アドレス、 プライマリ ユーザーの表示名に更新されました。

Internet Explorer 11 のサポートの終了

Intune は、管理ポータル Web アプリ UI への Internet Explorer 11 管理者アクセスのサポートを 2021 年 3 月 31 日に終了します。 Azure 上に構築されたお使いの Microsoft サービスを管理するには、それまでに Edge または他のサポートされているブラウザーに移行してください。

診断リモート アクションの収集

新しいリモート操作である [診断情報の収集] を使用すると、エンド ユーザーに中断や待機を発生させることなく、企業のデバイスからログを収集できます。 収集されるログには、MDM、オートパイロット、イベント ビューアー、キー、構成マネージャー クライアント、ネットワーク、その他の重要なトラブルシューティング ログが含まれます。 詳細については、「Windows デバイスから診断を収集する」を参照してください。

デバイス データをエクスポートするための新しいオプション

デバイス データをエクスポートするときに、次の新しいオプションを使用できます。

• エクスポートされるファイルに、選択した列のみを含めます。
• エクスポートされるファイルに、すべてのインベントリ データを含めます。 これらのオプションを表示するには、管理センター>の [デバイス>] [すべてのデバイス>のエクスポートMicrosoft Intuneに移動します。

デバイスのセキュリティ

Android Enterprise デバイス用の SCEP および PKCS 証明書プロファイルのサブジェクトと SAN で変数 CN={{UserPrincipalName}} を使用する

Android デバイス用の PKCS 証明書プロファイルまたは SCEP 証明書プロファイルのサブジェクトまたは SAN で、ユーザー属性 CN={{UserPrincipalName}} 変数を使用できるようになりました。 このサポートを利用するには、次のように登録されたデバイスのように、デバイスにユーザーが存在する必要があります。

• 完全に管理されている Android Enterprise
• 個人所有 Android Enterprise の仕事用プロファイル。

ユーザー属性は、Android Enterprise 専用として登録されているデバイスなど、ユーザーの関連付けがないデバイスではサポートされていません。 たとえば、デバイスにユーザーがいない場合、サブジェクトまたは SAN で使用 CN={{UserPrincipalName}} するプロファイルは、ユーザー プリンシパル名を取得できません。

Android および iOS で Defender for Endpoint のアプリ保護ポリシーを使用する

Android または iOS を実行するデバイスを対象にしたアプリ保護ポリシーで Microsoft Defender for Endpoint を使用できるようになりました。

• iOS デバイスと Android デバイスの Microsoft Defender for Endpoint からの許容される最大脅威レベルのシグナルを含めるように、MAM 条件付き起動ポリシーを構成します。
• デバイスが予想される脅威レベルを満たしているかどうかに基づいて、アクセスのブロックまたはデータのワイプを選択します。

構成すると、エンド ユーザーは、適切なアプリ ストアから Microsoft Defender for Endpoint アプリをインストールしてセットアップするように求められます。 前提条件として、Microsoft Defender for Endpoint コネクタを設定し、トグルをオンにしてリスク データがアプリ保護ポリシーに送信されるようにする必要があります。 詳細については、「アプリ保護 ポリシーの概要」および「Microsoft IntuneでMicrosoft Defender for Endpointを使用する」を参照してください。

マルウェアが WMI を介して永続化されるのをブロックするために攻撃面の減少ルールを構成する

エンドポイント セキュリティの攻撃面の減少ルール プロファイルの一部として、[WMI イベント サブスクリプションを使用した永続化をブロックする] という規則を構成できるようになりました。

この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。 ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

エンドポイント セキュリティの "攻撃面の減少" ポリシーの設定として構成する場合、次のオプションを使用できます。

• 未構成 (既定値) – 設定は Windows の既定値に戻ります。これはオフであり、永続化はブロックされません。
• ブロック – WMI による永続化をブロックします。
• 監査 – 有効になっている場合 (ブロックに設定)、この規則が組織に与える影響を評価します。
• 無効 - この規則をオフにします。 永続化はブロックされません。

このルールは [ 警告 ] オプションをサポートしていません。また、[ 設定] カタログの [デバイス構成] 設定としても使用できます。

Microsoft Tunnel の更新プログラム

Microsoft Tunnel Gateway の 新しいバージョン がリリースされました。これには、次の変更が含まれています。

• さまざまなバグ修正と機能強化。

Tunnel ゲートウェイ サーバーは、新しいリリースに自動的に更新されます。

Microsoft Tunnel Gateway サーバーの正常性状態の詳細

Microsoft Intune 管理センター内の Tunnel Gateway サーバーの詳細なヒース状態情報を表示する機能が追加されました。

新しい [正常性チェック] タブには、次の情報が表示されます。

• 最後のチェックイン - サーバーが Intune で最後にチェックインされた日時。
• 現在の接続数 - 最後のチェックイン時のアクティブな接続の数
• スループット - 最後のチェックで NIC を経由するメガビット/秒。
• CPU 使用率 - CPU の平均使用率。
• メモリ使用量 - メモリの平均使用量。
• 待機時間 - IP パケットが NIC を通過する平均時間。
• TLS 証明書の有効期限の状態と有効期限までの日数 - トンネルのクライアントからサーバーへの通信を保護する TLS 証明書が有効である期間。

Android 用 Microsoft Defender for Endpoint アプリの Tunnel クライアント機能のパブリック プレビュー

Ignite で発表されたように、Microsoft Tunnel クライアント機能は Microsoft Defender for Endpoint アプリに移行されつつあります。 このプレビューでは、サポートされているデバイスの Tunnel アプリとして、Microsoft Defender for Endpoint のプレビュー バージョンの使用を開始できます。 既存の Tunnel クライアントは引き続き利用できますが、最終的には Defender for Endpoint アプリに移行されます。

このパブリック プレビューの適用対象:

• Android Enterprise
  • フル マネージド
  • 会社所有の仕事用プロファイル
  • 個人所有の仕事用プロファイル

このプレビューでは、Microsoft Defender for Endpoint のプレビュー バージョンにアクセスするためにオプトインし、サポートされているデバイスをスタンドアロンの Tunnel クライアント アプリからプレビュー アプリに移行する必要があります。 詳細については、Microsoft Defender For Endpoint アプリへの移行に関する記事を参照してください。

Intune アプリ

Microsoft Launcher の構成キー

Android Enterprise のフル マネージド デバイスの場合、Microsoft Launcher for Intune アプリにより、より多くのカスタマイズが提供されるようになりました。 Launcher では、表示されるアプリと Web リンクのセット、およびこれらのアプリと Web リンクの順序を構成できます。 ホーム画面のカスタマイズを簡単にするため、アプリの構成の表示されるアプリの一覧と位置 (順序) が統合されました。 詳細については、「Microsoft Launcher の構成」を参照してください。

macOS デバイス用の Microsoft Edge がユニバーサル アプリになる

Microsoft Intuneから macOS デバイス用の Microsoft Edge アプリを展開すると、Apple シリコン Mac でネイティブに実行される新しいユニバーサル バージョンのアプリがデプロイされるようになりました。 同じデプロイでは、Intel Macs に x64 バージョンのアプリがインストールされます。 microsoft Edge for macOS を追加するには、Microsoft Intune管理センター>の [アプリ>] [すべてのアプリ>] [追加] の順に選択します。 Microsoft Edge バージョン 77 以降の [アプリの種類] の一覧で、[macOS] を選択します。 詳細については、「Microsoft Intuneを使用して macOS デバイスに Microsoft Edge を追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されているアプリを Microsoft Intune で使用できるようになりました。

• Cogosense Technology Inc. の FleetSafer
• Mazrica Inc. の Senses
• Fuze, Inc. の Fuze Mobile for Intune
• Movius Interactive Corporation の MultiLine for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

iOS/iPadOS ポータル サイト アプリでの通知エクスペリエンスの改善

ポータル サイトアプリは、Microsoft Intune管理センターからユーザーの iOS/iPadOS デバイスに送信されたプッシュ通知を保存および表示できるようになりました。 ポータル サイトのプッシュ通知の受信をオプトインしているユーザーは、お客様がポータル サイトの [通知] タブでユーザーのデバイスに送信した、カスタマイズされた保存済みメッセージを表示および管理できます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

ポータル サイト Web サイトの読み込みパフォーマンスの改善

ページ読み込みのパフォーマンスを向上させるため、アプリ アイコンがバッチで読み込まれるようになりました。 エンド ユーザーには、ポータル サイト Web サイトにアクセスするときに、アプリケーションの一部のプレースホルダー アイコンが表示されることがあります。 関連するアイコンは、そのすぐ後に読み込まれます。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリをカスタマイズする方法」と「ポータル サイト Web サイトからアプリを管理する」を参照してください。

監視とトラブルシューティング

Microsoft 導入スコアのエンドポイント分析

Microsoft 導入スコアには、組織レベルの分析情報をMicrosoft Intune以外の他のロールと共有する新しい Endpoint Analytics ページがあります。 ユーザーが目標を達成できるようにするには、デバイスがエンド ユーザーのエクスペリエンスにどのように影響しているかを理解することが重要です。 詳細については、「 Microsoft 導入スコアのエンドポイント分析」を参照してください。

エンドポイント分析のアプリケーションの信頼性レポート

エンドポイント分析では、新しい アプリケーション信頼性 レポートを使用できます。 このレポートには、管理対象 PC 上のデスクトップ アプリケーションの潜在的な問題に関する分析情報が提供されます。 エンド ユーザーの生産性に影響を与える上位のアプリケーションをすばやく特定し、これらのアプリケーションのアプリの使用状況とアプリエラーのメトリックの集計を確認できます。 トラブルシューティングを行うには、特定のデバイスにドリルダウンし、アプリの信頼性イベントのタイムラインを表示します。 このレポートは、2021 年 3 月中にパブリック プレビューで提供される予定です。 詳細については、「エンドポイント分析のアプリケーションの信頼性」を参照してください。

エンドポイント分析での再起動頻度 (プレビュー)

現在、エンドポイント分析の [スタートアップ パフォーマンス] により、PC の起動時間を計測して最適化するための分析情報が IT 担当者に提供されます。 ただし、再起動頻度は、ブルー スクリーンのために毎日再起動するデバイスは、起動時間が速い場合でもユーザー エクスペリエンスが低下するため、ユーザー エクスペリエンスに影響を与える可能性があります。 問題のあるデバイスを特定するのに役立つ、組織内の再起動頻度に関するプレビュー レポートが追加されました。 詳細については、「エンドポイント分析での再起動頻度 (プレビュー)」を参照してください。

役割ベースのアクセス制御

Microsoft Tunnel ゲートウェイ用のロールベースのアクセス許可の更新

Microsoft Tunnel を管理する権限をだれが持つかを制御するために、Intune のロールベースのアクセス制御に新しいアクセス許可グループとして Microsoft Tunnel ゲートウェイを追加しました。 この新しいグループには、次のアクセス許可が含まれます。

• 作成 - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを構成します。
• 更新 (変更) - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを更新します。
• 削除 - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを削除します。
• 読み取り - Microsoft Tunnel ゲートウェイ サーバー、サーバー構成、およびサイトを表示します。

既定では、Intune管理者とMicrosoft Entra管理者は、これらのアクセス許可を持ちます。 Intune テナント用にご自身で作成したカスタム ロールにこれらのアクセス許可を追加することもできます。

政府機関向け Intune および 21Vianet 用のカスタマイズ ポリシーでのスコープ タグのサポート

政府機関向け Intune および 21Vianet で運用されている Intune のカスタマイズ ポリシーにスコープ タグを割り当てることができるようになりました。 これを行うには、管理センター> Microsoft Intune [テナント管理>のカスタマイズ] に移動し、[スコープ タグの構成オプション] が表示されます。

スクリプト

Graph API を使用して、ローカライズされた Intune レポート データをエクスポートする

Microsoft Intune レポート エクスポート API を使用してエクスポートするレポート データに、ローカライズされた列のみ、またはローカライズされた列とローカライズされていない列を含めることができることを指定できるようになりました。 ほとんどのレポートでは、ローカライズされた列とローカライズされていない列オプションが既定で選択されているため、破壊的変更を防ぐことができます。 レポートの関連情報については、「Graph API を使用して Intune レポートをエクスポートする」および Graph API をして利用できる Intune レポートとプロパティに関する記事を参照してください。

2021 年 2 月

アプリ管理

エンド ユーザーは、Windows ポータル サイトからアプリのインストールを再開可能

エンド ユーザーは、進行状況が停滞している、または停止していると思われる場合、Windows ポータル サイトを使用してアプリのインストールを再開できます。 この機能は、アプリのインストールの進行状況が 2 時間以内に変化していない場合に使用できます。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

必須の iOS または iPadOS アプリを削除可能にするかどうかを構成する

必須の iOS または iPadOS アプリをエンド ユーザーが削除できるアプリとしてインストールするかどうかを構成できるようになりました。 この新しい設定は、iOS ストア、LOB、および組み込みアプリに適用されます。 この設定は、Microsoft Intune管理センターで [アプリ>] [iOS/iPadOS>追加] を選択することで確認できます。 アプリの割り当てを設定する際に、[Install as removable]\(削除可能としてインストールする\) を選択できます。 既定値は [はい] で、アプリが削除可能であることを意味します。 iOS 14 上の既存の必須インストールが、既定の (削除可能な) 設定値に更新されました。 iOS または iPadOS アプリの詳細については、Microsoft Intune アプリの管理に関する記事を参照してください。

共有 iPad デバイスでサポートされている基幹業務アプリ

共有 iPad デバイスに基幹業務 (LOB) アプリを展開できるようになりました。 基幹業務アプリは、Microsoft Intune 管理センターから共有 iPad デバイスを含むデバイス グループに必要に応じて割り当てる必要があります。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>] [追加] の順に選択します。 詳細については、「Microsoft Intune への iOS/iPadOS 基幹業務アプリの追加」を参照してください。

Microsoft Endpoint Configuration Manager コネクタ

Microsoft Configuration Managerのコネクタが管理センターに表示されるようになりました。 コネクタを確認するには、[テナントの管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] にアクセスします。 バージョン 2006 以降を実行しているConfiguration Manager階層を選択して、詳細を表示します。

デバイス構成

キオスク モードで実行されている Android Enterprise 9.0 以降の専用デバイスには、Google のコンプライアンス画面が自動的に表示されます

Intune で、Android Enterprise デバイスに対するデバイス構成パスワード ポリシーとデバイス コンプライアンス パスワード ポリシーを作成できます。

ポリシーを作成すると、キオスク モードで実行されている Android Enterprise 専用デバイスでは、Google のコンプライアンス画面が自動的に使用されます。 これらの画面により、ユーザーはポリシーの規則を満たすパスワードを設定するように強制的にガイドされます。

パスワードとキオスク ポリシーの作成の詳細については、以下を参照してください。

• デバイスを準拠または非準拠としてマークするための Android Enterprise 設定
• 機能を許可または制限するように Android Enterprise デバイスを設定する

適用対象:

• キオスク モードの Android Enterprise 9 以降

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2101.13.0 の新しいバージョンをリリースしました。 この新しいコネクタ バージョンでは、次に示すログに関する機能強化が PFX コネクタに加えられます。

• イベント ログの新しい場所。ログが管理、操作、デバッグに分割されます。
• 管理および操作ログの既定値は 50 MB で、自動アーカイブが有効になっています。
• PKCS インポート、PKCS 作成、および取り消しの EventID。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2009.2.0 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

• コネクタ サービスを実行するアカウントを保持するようにコネクタのアップグレードを改善します。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイス構成を使用して、Managed Home Screen でフォルダーの作成やグリッド サイズの設定を行う

Android Enterprise 専用デバイスでは、マネージド ホーム スクリーン設定 (デバイス>の構成>Create>Android Enterprise for platform >のフル マネージド、専用、および Corporate-Owned 仕事用プロファイル > デバイスの制限をプロファイル >デバイス エクスペリエンスに構成できます。

マルチ アプリ キオスク モードで Managed Home Screen を使用する場合は、[Custom app layout]\(カスタム アプリ レイアウト\) 設定が存在します。 この設定を使用すると、次のことができます。

• フォルダーを作成し、それらのフォルダーにアプリを追加し、Managed Home Screen にフォルダーを配置します。 各フォルダーを順序付けする必要はありません。

• Managed Home Screen でアプリとフォルダーを順序付けするかどうかを選択します。 順序付けする場合、次のことも行えます。

  • グリッドのサイズを設定する。
  • グリッド上の別の場所にアプリとフォルダーを追加する。

以前は、アプリ構成ポリシーを使用する必要がありました。

詳細については、Android Enterprise 専用デバイスのデバイス エクスペリエンス設定に関する記事を参照してください。

適用対象:

• Android Enterprise 専用デバイス

設定カタログを使用して macOS デバイスで Microsoft Edge ブラウザーを構成する

現在、macOS デバイスでは、基本設定ファイル (デバイス>構成>Create>macOS for platform >Preference file for profile) を使用して .plist Microsoft Edge ブラウザーを構成します。

Microsoft Edge ブラウザーを構成するための更新された UI があります。デバイス>構成>Create>macOS for platform >Settings catalog for profile。 必要な Microsoft Edge 設定を選択した後、それらを構成します。 プロファイルでは、設定を追加したり、既存の設定を削除したりすることもできます。

構成できる設定の一覧を確認するには、「Microsoft Edge - ポリシー」を参照してください。 macOS がサポート対象プラットフォームとして一覧に表示されていることを確認してください。 一部の設定が設定カタログで使用できない場合は、引き続き基本設定ファイルのみを使用することをお勧めします。

詳細については、以下を参照してください。

• 設定カタログ
• Intune を使用して macOS デバイスにプロパティ リスト ファイルを追加する

構成したポリシーを確認するには、Microsoft Edge を開き、edge://policyに移動します。

適用対象:

• Microsoft Edge ブラウザー バージョン 77 以降 (macOS)

Android Enterprise デバイスの VPN 接続の種類として NetMotion Mobility を使用する

VPN プロファイルを作成する場合、Android Enterprise 用の VPN 接続の種類として NetMotion Mobility を使用できます。

• デバイス>構成>> Create Android Enterprise>のフル マネージド、専用、および Corporate-Owned 接続の種類のプロファイル NetMotion Mobility の仕事用プロファイル >> VPN
• デバイス>構成>> Create Android Enterprise>個人所有の仕事用プロファイル>VPN for profile >NetMotion Mobility for connection type

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

• Android Enterprise の個人所有の仕事用プロファイル
• Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

macOS および Windows クライアント デバイスのデバイス構成プロファイルを作成する場合の設定カタログとテンプレート

macOS および Windows 10/11 デバイス用のデバイス構成プロファイル (デバイス>構成>Create>macOSWindows 10 以降のプラットフォーム用) を作成するときに UI の更新があります。

プロファイルには、設定カタログとテンプレートが表示されます。

• 設定カタログ: このオプションを使用して、最初から開始し、使用可能な設定のライブラリから必要な設定を選択します。 macOS の場合、設定カタログには、Microsoft Edge バージョン 77 以降を構成するための設定が含まれています。 Windows クライアントの設定カタログには、多数の既存の設定と新しい設定が、すべて 1 か所にまとめて含まれています。
• テンプレート: デバイスの制限、デバイス機能、VPN、Wi-Fi など、既存のすべてのプロファイルを構成するには、このオプションを使用します。

この変更は UI の変更のみで、既存のプロファイルには影響しません。

詳細については、「設定カタログ」を参照してください。

適用対象:

• macOS
• Windows 11
• Windows 10

監視下にある iOS/iPadOS デバイスのホーム画面のレイアウト更新

iOS/iPadOS デバイスでは、ホーム画面レイアウト (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>の>デバイス機能ホーム画面レイアウト) を構成できます。 Intune のホーム画面のレイアウト機能が更新されます。

- ホーム画面のレイアウトに新しいデザインが追加されています。 この機能により、管理者は、アプリとアプリ アイコンがページ、ドック、およびフォルダー内でどのように表示されるかをリアルタイムで確認できます。 この新しいデザイナーでアプリを追加する場合、別のページを追加することはできません。 ただし、フォルダーに 9 つ以上のアプリを追加すると、それらのアプリは自動的に次のページに移動します。 既存のポリシーは影響を受けず、変更する必要はありません。 設定値は、悪影響を及ぼすことなく新しい UI に転送されます。 デバイス上での設定の動作は同じです。 - Web リンク (Web アプリ) をページまたはドックに追加します。 Web リンクの特定の URL は、必ず 1 回だけ追加するようにしてください。 既存のポリシーは影響を受けず、変更する必要はありません。

ホーム画面のレイアウトを含め、構成できる設定の詳細については、「Intune で一般的な iOS および iPadOS 機能を使用するための iOS および iPadOS デバイスの設定」を参照してください。

適用対象:

• 監視下にある iOS/iPadOS デバイス

iOS/iPadOS デバイスで Apple の個人用広告を制限する

iOS/iPadOS デバイスでは、Apple の個人用広告を構成できます。 有効にすると、個人用設定された広告は、App Store、Apple News、および株式アプリで制限されます (プラットフォーム>のデバイス>構成>Create>iOS/iPadOS プロファイル>のデバイス制限一般的な>制限 Apple のパーソナライズド広告を制限します)。

この設定は、パーソナライズド広告にのみ影響します。 この設定を構成すると、[設定]>[プライバシー]>[Apple の広告] が [オフ] に設定されます。 App Store、Apple News、株式アプリのパーソナライズされていない広告には影響しません。 Apple の広告ポリシーの詳細については、Apple の広告とプライバシー を参照してください (Apple の Web サイトが開きます)。

Intune で構成できる現在の設定を確認するには、機能を許可または制限するための iOS および iPadOS デバイスの設定に関する記事を参照してください。

適用対象:

• デバイス登録またはデバイスの自動登録で登録された iOS/iPadOS 14.0 以降のデバイス

管理用テンプレートに Microsoft Edge バージョン 88 用の新しいポリシーを追加

Microsoft Edge バージョン 88 に適用される新しい ADMX 設定を構成して展開することができます。 新しいポリシーを確認するには、Microsoft Edge のリリース ノートにアクセスしてください。

Intune でのこの機能の詳細については、Microsoft Edge のポリシー設定の構成に関する記事を参照してください。

適用対象:

• Windows 11
• Windows 10

コンプライアンス違反のメール通知でのロケールのサポート

コンプライアンス ポリシーにより、異なるロケールごとに別のメッセージが含まれる通知メッセージ テンプレートがサポートされるようになりました。 複数の言語をサポートするために、ロケールごとに個別のテンプレートおよびポリシーを作成する必要がなくなりました。

テンプレートでロケール固有のメッセージを構成すると、準拠していないエンド ユーザーは、Microsoft 365 優先言語に基づいて適切なローカライズされた電子メール通知メッセージを受け取ります。 また、テンプレートでは、"既定の" メッセージとして、ローカライズされたメッセージを 1 つ指定します。 既定のメッセージは、優先言語を設定していないユーザー、またはテンプレートにロケールの特定のメッセージが含まれていない場合に送信されます。

デバイスの登録

Apple 自動デバイス登録セットアップ アシスタントのさらに多くの画面を非表示にする

iOS および iPadOS 14.0 以降、および macOS 11 以降のデバイスに対して、以下の設定アシスタント画面が表示されないように、自動デバイス登録 (ADE) プロファイルを設定できるようになりました。

• 復元完了、iOS/iPadOS 14.0 以降の場合。
• ソフトウェア更新完了、iOS/iPadOS 14.0 以降の場合。
• アクセシビリティ、macOS 11 以降の場合 (Mac デバイスがイーサネットに接続されている必要があります)。

デバイス管理

デバイス セキュリティ ポリシーを基本的なモビリティとセキュリティから Intune に移行する

ポリシー移行ツールを使用すると、Basic Mobility and Security (以前の MDM for Office 365 または Office MDM) によって展開されたモバイル デバイス管理 (MDM) デバイス セキュリティ ポリシーを、標準の Intune MDM 構成プロファイルおよびコンプライアンス ポリシーに完全に移行できます。 このツールを使用すると、Basic Mobility and Security デバイス セキュリティ ポリシーで今後行われるポリシーの作成と編集がすべて無効になります。

このツールを使用するには、次のことが必要です。

• Basic Mobility and Security によって管理されるデバイスのすべてのユーザーの Intune ライセンスを既に購入している (ただし、まだ割り当てられていない)。
• Intune for Education サブスクリプションを購入している場合、サポートに連絡して資格を確認する。

詳細については、「モバイル デバイス管理を基本的なモビリティとセキュリティから Intune に移行する」を参照してください。

会社所有の Windows デバイスの [プロパティ] ページのサブネット ID と IP アドレス

会社所有の Windows デバイス用の [プロパティ] ページに、サブネット ID と IP アドレスが表示されるようになりました。 それらを表示するには、管理センター>の [デバイス>] Intune [すべてのデバイス>] に移動し、会社所有の Windows デバイス>のプロパティを選択します。

デバイスのセキュリティ

Microsoft Defender Application Guard の Intune サポートに分離 Windows 環境が追加された

エンドポイント セキュリティ攻撃面の縮小ポリシーでIntune アプリとブラウザーの分離プロファイルで [Application Guardを有効にする] を構成する場合は、Application Guardを有効にするときに、次のオプションから選択できます。

• Microsoft Edge - "以前から使用可能"
• 分離 Windows 環境 - "今回の更新の新機能"
• Microsoft Edgeと分離された Windows 環境 - この更新プログラムを使用した新機能

今回より前のリリースでは、この設定の名前は、[Turn on Application Guard for Edge (Options)]\(Edge に対して Application Guard を有効にする (オプション)\) でした。

この設定の新しいオプションは、Application Guard Edge の URL 以外にもサポートを拡張します。 Application Guard を有効にして、ハードウェアの分離 Windows VM 環境 (コンテナー) で潜在的な脅威を開くことで、デバイスを保護できるようになりました。 たとえば、分離された Windows 環境がサポートされている場合、Application Guard により、分離された Windows VM で信頼されていない Office ドキュメントを開くことができます。

この変更により:

• Intune で、Windows MDM CSP で見つかるすべての値がサポートされるようになりました: AllowWindowsDefenderApplicationGuard。
• 分離された Windows 環境を使用する場合のデバイス ユーザーへの影響について理解を深めるには、Windows セキュリティ ドキュメントの「Application Guard のテスト シナリオ」を参照してください。
• Application Guard および Office アプリのサポートの詳細については、Microsoft 365 のドキュメントの Office 用 Application Guard に関する記事を参照してください。

攻撃面の減少ポリシーの新しい Application Guard 設定

Intuneのエンドポイント セキュリティ攻撃面の縮小ポリシーのアプリとブラウザーの分離プロファイルに、次の 2 つの新しい設定が追加されました。

• [Application Guard allow camera and microphone access]\(Application Guard でカメラとマイクへのアクセスを許可する\) – Application Guard アプリによるデバイスのカメラとマイクへのアクセスを管理します。
• [Application Guard allow use of Root Certificate Authorities from the user's device]\(Application Guard でユーザーのデバイスからのルート証明機関の使用を許可する\) – 1 つ以上のルート証明書の拇印を指定すると、一致する証明書が Microsoft Defender Application Guard コンテナーに転送されます。

詳細については、「アプリとブラウザーの分離」の設定を参照してください。

セキュリティ ベースラインのUpdates

次のセキュリティ ベースラインでは新しいバージョンを使用できます。

• MDM セキュリティ ベースライン (Windows 10 セキュリティ)
• Microsoft Defender for Endpoint のベースライン

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

エンドポイント セキュリティ ファイアウォール レポート

エンドポイント セキュリティのファイアウォール ポリシー専用の 2 つの新しいレポートが追加されました。

• ファイアウォールがオフになっている Windows 10 MDM デバイスはエンドポイント セキュリティ ノードにあり、ファイアウォールがオフになっている Windows 10 デバイスの一覧が表示されます。 このレポートでは、デバイス名、デバイス ID、ユーザー情報、ファイアウォールの状態によって各デバイスが識別されます。
• Windows 10 MDM ファイアウォールの状態は [レポート] ノードにある組織レポートであり、Windows 10 デバイスのファイアウォールの状態が一覧表示されます。 このレポートには、ファイアウォールが有効か、無効か、制限付きか、または一時的に無効か、などの状態情報が表示されます。

Defender ウイルス対策レポートの [概要] ビュー

Microsoft Intune管理センターの [レポート] ノードにあるMicrosoft Defenderウイルス対策レポートのビューが更新されました。 [レポート] ノードで [ウイルス対策] Microsoft Defender選択すると、[概要] タブの既定のビューと、[レポート] の 2 番目のタブが表示されます。 [ レポート ] タブには、以前に使用できる ウイルス対策エージェントの状態 と 検出されたマルウェア 組織レポートがあります。

新しい [概要] タブには、以下の情報が表示されます。

• ウイルス対策レポートの集計の詳細が表示される。
• 各ウイルス対策状態のデバイス数を更新する、更新オプションが含まれている。
• [Antivirus agent status]\(ウイルス対策エージェントの状態\) 組織レポートに含まれるものと同じデータが反映されます。これは、[レポート] タブからアクセスできるようになりました。

Android および iOS/iPadOS で、より多くの Mobile Threat Defense パートナーに対するアプリ保護ポリシー のサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新プログラムでは、アプリ保護ポリシーを使用して、デバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプするために、このサポートを次のパートナーに拡張します。

• Android、iOS、iPadOS の McAfee MVision Mobile

詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

SCEP および PKCS プロファイルの証明書の有効期間の延長

Intune では、Simple Certificate Enrollment Protocol (SCEP) および公開キー暗号化標準 (PKCS) の証明書プロファイルで、最長 24 か月の証明書の有効期間がサポートされるようになりました。 この変更は、以前のサポート期間から最大 12 か月間増加しています。

このサポートは、Windows および Android に適用されます。 iOS/iPadOS および macOS では、証明書の有効期間は無視されます。

監視とトラブルシューティング

新しい [共同管理の適格性] 組織レポート

共同管理適格性レポートでは、共同管理可能なデバイスの適格性評価が提供されます。 共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。 このレポートの概要をMicrosoft Intune管理センターで表示するには、[レポートクラウド接続デバイス>]>タブの [共同管理の適格性] を>選択します。 関連するレポートの情報については、「Intune レポート」を参照してください。

新しい共同管理されたワークロード組織レポート

[Co-Managed Workloads]\(共同管理されたワークロード\) レポートでは、現在共同管理されているデバイスのレポートが提供されます。 共同管理により、Configuration Manager と Microsoft Intune の両方を使用して、Windows 10 デバイスを同時に管理できます。 このレポートは、Microsoft Intune管理センターで [レポートクラウド接続デバイス>]>タブの [共同管理ワークロード] を>選択することで表示できます。 詳細については、「Intune レポート」を参照してください。

Log Analytics にデバイスの詳細ログが含まれる

Intune デバイスの詳細ログを利用できるようになりました。 管理センター Microsoft Intuneで、[レポートログ分析] を選択します>。 デバイスの詳細のセットを相互に関連付けて、カスタム クエリと Azure ブックを作成することができます。 詳細については、「Azure Monitor 統合レポート (スペシャリスト)」を参照してください。

役割ベースのアクセス制御

[登録ステータス] ページの [スコープ] タグのサポート

スコープ タグを [登録状態] ページに割り当てて、定義したロールのみが表示されるようにできるようになりました。 詳細については、「登録ステータス ページのプロファイルを作成してグループに割り当てる」を参照してください。

スクリプト

ベータ版のその他のData Warehouseプロパティ

Intune Data Warehouseベータ API を使用して、その他のプロパティを使用できるようになりました。 次のプロパティは、ベータ API でデバイス エンティティを介して公開されます。

• SubnetAddressV4Wifi - IPV4 Wi-Fi 接続のサブネット アドレス。
• IpAddressV4Wifi - IPV4 Wi-Fi 接続の IP アドレス。

詳細については、「Microsoft Intune Data Warehouse API」を参照してください。

2021 年 1 月

アプリ管理

iOS、macOS、Web ポータル サイト用のアプリケーション アイコンの更新

iOS、macOS、および Web 用のポータル サイトのアプリ アイコンが更新されました。 このアイコンは、Windows のポータル サイトでも使用されています。 エンド ユーザーには、デバイスのアプリケーション起動ツールとホーム画面、Apple のApp Store、ポータル サイト アプリ内のエクスペリエンスに新しいアイコンが表示されます。

個人所有の仕事用プロファイルでの Android Enterprise システム アプリのサポート

個人所有 Android Enterprise 仕事用プロファイル デバイスに Android Enterprise システム アプリを展開できるようになりました。 システム アプリは、マネージド Google Play ストアに表示されないアプリであり、多くの場合、デバイスにプレインストールされます。 システム アプリを展開すると、システム アプリをアンインストールしたり、非表示にしたり、削除したりすることはできなくなります。 システム アプリの関連情報については、「Android Enterprise システム アプリを Microsoft Intune に追加する」を参照してください。

依存関係のある Win32 アプリの削除

Intune に追加された Win32 アプリに依存関係がある場合は、削除できません。 そのようなアプリは、依存関係を削除した後にのみ削除できます。 この要件は、依存関係にある親アプリと子アプリの両方に適用されます。 また、この要件によって、依存関係が適切に適用され、依存関係の動作をより予測しやすくなります。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

カスタマイズ ポリシーのスコープ タグのサポート

スコープ タグをカスタマイズ ポリシーに割り当てられるようになりました。 これを行うには、管理センター> Microsoft Intune [テナント管理>のカスタマイズ] に移動し、[スコープ タグの構成オプション] が表示されます。 政府機関向け Intune または 21Vianet が運用している Intuneで、この機能が使用できるようになりました。

Android 仕事用プロファイルの登録時にブラウザー アクセスが自動的に有効化される

Android Enterprise の個人所有の仕事用プロファイルの新規登録時に、ブラウザー アクセスが自動的に有効化されるようになりました。 この変更により、準拠しているデバイスはブラウザーを使用して、他のアクションを実行することなく、条件付きアクセスによって保護されているリソースにアクセスできます。 この変更の前に、ユーザーはポータル サイトを起動し、[設定][ブラウザー> のアクセス>を有効にする] を選択する必要がありました。

この変更は、既に登録されているデバイスには影響しません。

Win32 アプリのダウンロード進行状況バー

Win32 アプリのダウンロード中、Windows ポータル サイトで、エンド ユーザーに進行状況バーが表示されるようになります。 この機能を使用すると、アプリのインストールの進行状況をより深く理解するのに役立ちます。

Android 用ポータル サイト アプリ アイコンの更新

Android 用ポータル サイト アプリ アイコンを更新し、デバイス ユーザー向けのより新しい外観を作成しました。 新しいアイコンの外観を確認するには、Google Play の Intune ポータル サイトの掲載ページにアクセスしてください。

デバイス構成

Microsoft Tunnel で Red Hat Enterprise Linux 8 がサポートされるようになりました

Microsoft Tunnel で Red Hat Enterprise Linux (RHEL) 8 を使用できるようになりました。 RHEL 8 を使用するには、アクションを実行する必要はありません。 Docker コンテナーにサポートが追加されました。このコンテナーは自動的に更新されます。 さらに、この更新によって余分なログも抑制されます。

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2009.1.9 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

• コネクタ証明書の更新の改善。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

監視とトラブルシューティング

Graph API を使用して Intune レポートをエクスポートするときの更新

デバイス レポートの列を選択しないで exportJobs Graph API を使用して Intune レポートをエクスポートすると、既定の列セットが提供されます。 混乱を軽減するために、既定の列セットから列が削除されました。 削除された列は、PhoneNumberE164Format、_ComputedComplianceState、_OS、および OSDescription です。 これらの列は引き続き、必要に応じて選択できます。ただし、明示的にのみ選択でき、既定では選択されません。 デバイスのエクスポートの既定の列に関する自動化を作成し、その自動化でこれらの列のいずれかを使用する場合、プロセスをリファクタリングして、これらの列とその他の関連する列を明示的に選択する必要があります。 詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

2020 年 12 月

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Dynamics 365 Remote Assist
• Box - Cloud Content Management
• STid Mobile ID
• FactSet 3.0
• Notate for Intune
• Field Service (Dynamics 365)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2020 年 11 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイルのメッセージの機能強化

仕事用プロファイルの動作の紹介と説明がいっそうわかりやすいように、Android 用ポータル サイトのメッセージを更新しました。 新しいメッセージングが表示されます。

• 作業プロファイルの設定フローの後: ユーザーには、作業アプリを検索する場所を説明する新しい情報画面が表示され、ヘルプ ドキュメントへのリンクが表示されます。
• ユーザーが誤って個人用プロファイルでポータル サイト アプリを再度有効にした場合: ユーザーを作業アプリに誘導するためのより明確な説明と新しいイラストを含む画面 (お使いのデバイスには仕事用のプロファイルが追加されました) を再設計し、ヘルプ ドキュメントへのリンクを追加しました。
• [ ヘルプ ] ページの [ よく寄せられる質問 ] セクションに、仕事用プロファイルを設定してアプリを見つける方法に関するドキュメントを参照するための新しいリンクがあります。

PowerShell スクリプトはアプリの前に実行され、タイムアウトが減ります

PowerShell スクリプトには、いくつかの更新プログラムがあります。

• Microsoft Intune管理拡張機能の実行フローは、最初に PowerShell スクリプトの処理に戻り、次に Win32 アプリを実行します。
• 登録状態ページ (ESP) のタイムアウトの問題を解決するために、PowerShell スクリプトは 30 分後にタイムアウトします。 以前は、60 分後にタイムアウトしました。

詳細については、「Intune の Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

デバイス構成

Android Enterprise 専用デバイスで使用できる電源メニュー、ステータス バーの通知、さらに制限の厳しい設定

シングル またはマルチアプリ キオスク モードを実行している登録済みの Android Enterprise 専用デバイスIntuneでは、次のことができます。

• 電源メニュー、システム エラーの警告、および設定アプリへのアクセスを制限します。
• ユーザーがホームボタンと概要ボタンと通知を表示できるかどうかを選択します。

これらの設定を構成するには、デバイス制限構成プロファイルを作成します。デバイス>の構成>Create>Android Enterprise for platform >フル マネージド、専用、および企業所有の仕事用プロファイル > デバイスの制限>全般。

これらの設定と構成できるその他の設定の詳細については、「Android Enterprise デバイス設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise 専用デバイス

iOS/iPadOS デバイスでのアプリ通知の新しい表示プレビュー設定

iOS/iPadOS デバイスには、[プレビューの表示] 設定があります (デバイス>の構成>Create>iOS/iPadOS for platform プロファイル >>アプリ通知のデバイス機能)。 この設定を使用して、最近のアプリ通知プレビューをデバイスに表示するタイミングを選択します。

アプリ通知の設定と構成できるその他の設定の詳細については、「 iOS/iPadOS の一般的な機能を使用するためのデバイス設定」を参照してください。

Microsoft Tunnel for iOS のオンデマンド ルール

Microsoft Tunnel では、 iOS/iPad デバイスのオンデマンド ルールがサポートされるようになりました。 オンデマンド ルールでは、特定の FQDN または IP アドレスに対して条件が満たされた場合に VPN の使用を指定できます。

Microsoft Tunnel を使用して iOS/iPadOS のオンデマンド 規則を構成するには、デバイス構成ポリシーの一部として iOS/iPadOS 用の VPN プロファイルを構成します。 [プロファイルの構成設定] ページで、[接続の種類] として [Microsoft Tunnel] を選択し、オンデマンド VPN 規則を構成するためのアクセス権を持つようになります。

構成できるオンデマンド VPN 規則の詳細については、「 自動 VPN 設定」を参照してください。

適用対象:

• iOS/iPadOS

Windows 10 以降のデバイスでの Wi-Fi プロファイルのその他の認証設定

Windows 10 以降を実行しているデバイス (デバイス>の構成>Create Windows 10>以降のプロファイル用のプラットフォーム >Wi-Fi 用の Wi-Fi プロファイル>の新しい設定と機能。

• 認証モード: ユーザー、デバイスを認証するか、ゲスト認証を使用します。

• ログオンごとに資格情報を記憶する: VPN に接続するたびに、ユーザーに資格情報の入力を強制します。 または、ユーザーが資格情報を 1 回だけ入力できるように、資格情報をキャッシュします。

• 次のような認証動作をより詳細に制御します。

  • 認証期間
  • 認証再試行の遅延期間
  • 開始期間
  • 最大 EAPOL-Start メッセージ数
  • 最大認証エラー数

• デバイスとユーザーの認証に個別の VLAN を使用する: シングル サインオンを使用する場合、Wi-Fi プロファイルでは、ユーザーの資格情報に基づいて別の仮想 LAN を使用できます。 Wi-Fi サーバーがこの機能をサポートしている必要があります。

これらの設定と構成できるすべての設定を表示するには、Intuneの [Windows 10 以降のデバイスの Wi-Fi 設定を追加する] に移動します。

適用対象:

• Windows 10 以降

デバイス管理

個人所有の仕事用プロファイルの用語

混乱を避けるために、仕事用プロファイルの Android Enterprise 管理シナリオの用語は、Intuneドキュメントとユーザー インターフェイス全体を通じて、"仕事用プロファイルを持つ個人所有のデバイス" または個人所有の仕事用プロファイルに変更されます。 この変更により、"企業所有の仕事用プロファイル" (COPE) 管理シナリオと区別されます。

windows Autopilot for HoloLens 2 (プレビュー)

HoloLens 2 デバイスの Windows Autopilot がパブリック プレビューになりました。 管理者は、フライティングのためにテナントを登録する必要がなくなりました。 HoloLens の Autopilot の使用方法の詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

iOS 11 のサポートを終了する

Intune登録とポータル サイトでは、iOS バージョン 12 以降がサポートされるようになりました。 以前のバージョンはサポートされていませんが、引き続きポリシーを受け取ります。

macOS 10.12 のサポートを終了する

macOS Big Sur がリリースされたので、Intune登録とポータル サイトでは macOS バージョン 10.13 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

デバイスのセキュリティ

エンドポイント セキュリティのデバイス制御プロファイルの新しい設定

新しい設定である [ リムーバブル ストレージへの書き込みアクセスをブロック する] を追加しました。エンドポイント セキュリティの攻撃面の削減ポリシーの デバイス制御プロファイル 。 [はい] に設定すると、リムーバブル 記憶域への書き込みアクセスがブロックされます。

攻撃面の縮小ルール プロファイルの設定の機能強化

エンドポイント証券の 攻撃面縮小ポリシーの一部である攻撃面の縮小ルール プロファイルで、適用可能な設定のオプションが更新されました。

[無効] や [有効] などの既存のオプションに対する設定間の一貫性が強化され、新しいオプション [警告] が追加されました。

• 警告 - バージョン 1809 以降Windows 10実行されているデバイスでは、デバイス ユーザーは設定をバイパスできることを示すメッセージを受け取ります。 たとえば、[ Adobe Reader の子プロセスの作成をブロックする] の設定で、[ 警告 ] のオプションを使用すると、そのブロックをバイパスし、Adobe Reader で子プロセスを作成できるようにするオプションがユーザーに表示されます。 以前のバージョンのWindows 10を実行するデバイスでは、ルールによって動作が適用され、バイパスするオプションはありません。

エンドポイント セキュリティのデバイス制御プロファイルでの USB デバイス ID のポリシー マージのサポート攻撃面の縮小ポリシー

エンドポイント セキュリティ攻撃面の縮小ポリシーのデバイス制御プロファイルに USB デバイス ID のポリシー マージのサポートが追加されました。 デバイス制御プロファイルの次の設定は、ポリシーのマージに対して評価されます。

• デバイス識別子によるハードウェア デバイスのインストールを許可する
• デバイス識別子によってハードウェア デバイスのインストールをブロックする
• セットアップ クラスによるハードウェア デバイスのインストールを許可する
• セットアップ クラスによるハードウェア デバイスのインストールをブロックする
• デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する
• デバイス インスタンス識別子によってハードウェア デバイスのインストールをブロックする

ポリシーのマージは、デバイスに適用される異なるプロファイル全体の各設定の構成に適用されます。 2 つの設定が密接に関連している場合でも、異なる設定間の評価は含まれません。

マージする内容の詳細な例と、サポートされている各設定の許可とブロックリストをデバイスにマージして適用する方法については、「デバイス制御プロファイルの 設定のポリシーのマージ 」を参照してください。

エンドポイント セキュリティのウイルス対策状態操作レポートの改善

Windows Defenderウイルス対策のウイルス対策状態操作レポートに新しい詳細が追加されました。これはエンドポイント セキュリティ ポリシー レポートです。

デバイスごとに、次の新しい情報列を使用できます。

• 製品の状態 – デバイス上のWindows Defenderの状態。
• 改ざん防止 – 改ざん防止が有効または無効になっています。
• 仮想マシン – デバイスを仮想マシンまたは物理デバイスにします。

攻撃面の縮小ルールのルールマージの改善

攻撃表面の縮小ルールでは、デバイスごとにポリシーのスーパーセットを作成するために、さまざまなポリシーの設定を統合するための新しい動作がサポートされるようになりました。 競合していない設定のみがマージされますが、競合している設定はルールのスーパーセットには追加されません。 以前は、2 つのポリシーに 1 つの設定の競合が含まれている場合、両方のポリシーが競合しているとフラグが設定され、どちらのプロファイルの設定も展開されません。

攻撃面の縮小ルールのマージ動作は次のとおりです。

• 次のプロファイルの攻撃面縮小ルールは、ルールが適用されるデバイスごとに評価されます。
  • デバイス>構成ポリシー > エンドポイント保護プロファイル>Microsoft Defender Exploit Guard >攻撃 Surface の削減。
  • エンドポイント セキュリティ > 攻撃面の縮小ポリシー >攻撃面の縮小ルール。
  • エンドポイント セキュリティ > のセキュリティ ベースライン > Microsoft Defender for Endpointベースライン>攻撃サーフェス削減ルール。
• 競合のない設定は、デバイスのポリシーのスーパーセットに追加されます。
• 複数のポリシーに競合する設定がある場合、競合する設定は結合されたポリシーに追加されません。 競合しない設定は、デバイスに適用されるスーパーセット ポリシーに追加されます。
• 競合する設定の構成のみが保留されます。

MVISION Mobile – 新しいモバイル脅威防御パートナー

MVISION Mobile (Microsoft Intune と統合された McAfee の Mobile Threat Defense ソリューション) によって行われたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

監視とトラブルシューティング

構成プロファイルの問題のトラブルシューティングに役立つ新しいIntune運用レポート

新しい 割り当てエラー 操作レポートは、デバイスを対象とした構成プロファイルのエラーと競合のトラブルシューティングに役立つパブリック プレビューで使用できます。 このレポートには、テナントの構成プロファイルの一覧と、エラーまたは競合の状態にあるデバイスの数が表示されます。 この情報を使用して、プロファイルにドリルダウンし、プロファイルに関連するエラー状態のデバイスとユーザーの一覧を表示できます。 また、さらにドリルダウンして、エラーの原因に関連する設定と設定の詳細の一覧を表示することもできます。 レポート全体のすべてのレコードをフィルター処理、並べ替え、検索できます。 Microsoft Intune管理センターで、[デバイス>モニター>の割り当てエラー (プレビュー)] を選択すると、このレポートを確認できます。 Intune のレポートの詳細については、「Intune レポート」を参照してください。

Azure Virtual Desktop VM の更新プログラムを報告する

次の設定は、ポリシー レポートで [適用なし ] としてマークされます。

• BitLocker 設定
• デバイスの暗号化
• Defender Application Guard設定
• Defender 改ざん防止
• Wi-Fi プロファイル

非準拠ポリシー レポートは、エラーまたは非準拠のデバイスのトラブルシューティングに役立ちます

プレビューでは、新しい 非準拠ポリシー レポートは、デバイスを対象とするコンプライアンス ポリシーのエラーと競合のトラブルシューティングに使用できる運用レポートです。 非準拠ポリシー レポートには、1 つ以上のデバイスでエラーが発生している、またはポリシーに準拠していない状態にあるコンプライアンス ポリシーの一覧が表示されます。

このレポートを使用して、次の操作を行います。

• 非準拠状態またはエラー状態のデバイスに対するデバイス コンプライアンス ポリシーを表示し、ドリルインして、失敗した状態のデバイスとユーザーの一覧を表示します。
• さらにドリルダウンして、失敗の原因となっている設定と設定情報の一覧を表示します。
• レポート内のすべてのレコードをフィルター処理、並べ替え、検索します。 ページング コントロールを追加し、csv ファイルへのエクスポート機能を強化しました。
• 問題が発生しているタイミングを特定し、トラブルシューティングを効率化します。

デバイス コンプライアンスの監視の詳細については、「デバイス コンプライアンス ポリシー Intune監視する」を参照してください。

2020 年 10 月

アプリ管理

登録が [使用不可] に設定されている場合、登録が必要なアプリは非表示になります

[登録済みデバイスで使用可能] と [必須の意図] で割り当てられたアプリは、デバイス登録設定が [使用不可] に設定されているユーザーのポータル サイトには表示されません。 この変更は、登録されていないデバイスからポータル サイト アプリまたは Web サイトを表示する場合にのみ適用されます (MAM マネージド アプリケーションを使用して登録解除されたデバイスを含む)。 [デバイス登録] 設定の値に関係なく、登録済みデバイスからポータル サイトを表示するユーザーには、アプリが引き続き表示されます。 詳細については、「デバイス登録設定のオプション」を参照してください。

iOS ポータル サイトプライバシー メッセージのカスタマイズの機能強化

これで、iOS ポータル サイトでプライバシー メッセージングをカスタマイズする機能が強化されました。 以前のサポートでは、organizationで表示できない内容をカスタマイズできることに加えて、iOS ポータル サイトのエンド ユーザーに表示されるプライバシー メッセージに表示されるorganizationをカスタマイズできます。 この機能をサポートするには、デバイスが少なくともバージョン 4.11 ポータル サイト実行され、表示される内容に関するカスタマイズされたメッセージングを確認する必要があります。 この機能は、[テナント管理>のカスタマイズ] を選択して、Microsoft Intune管理センターで使用できます。 詳細については、「ポータル サイト プライバシー」メッセージを参照してください。

COPE デバイス上の Android アプリ保護ポリシー (MAM)

新しく追加されたモバイル アプリケーション管理 (MAM) サポートにより、仕事用プロファイル (COPE) を持つ Android Enterprise 企業所有のデバイスで Android アプリ保護ポリシーが有効になります。 アプリ保護ポリシーの詳細については、「アプリ保護 ポリシーの概要」を参照してください。

Android デバイスの最大ポータル サイトバージョンの有効期間

年齢制限は、Android デバイスのポータル サイト アプリ バージョンの最大日数として設定できます。 この設定により、エンド ユーザーがアプリリリースの一定の範囲内ポータル サイト (日数) に収まるようにします。 デバイスの設定が満たされていない場合、この設定で選択したアクションがトリガーされます。 アクションには、 アクセスのブロック、 データのワイプ、または 警告が含まれます。 この設定は、Microsoft Intune管理センターで [アプリ>アプリ保護 ポリシー> Create ポリシー] を選択することで確認できます。 [最大ポータル サイトバージョンの有効期間 (日数)] 設定は、[条件付き起動] ステップの [デバイスの条件] セクションで使用できます。 詳細については、「 Android アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

Mac LOB アプリは、macOS 11 以降のマネージド アプリとしてサポートされます

Intuneでは、macOS 11 以降に展開された Mac 基幹業務 (LOB) アプリ用に構成できる [管理対象アプリとしてインストール] プロパティがサポートされています。 この設定がオンの場合、Mac LOB アプリは、サポートされているデバイス (macOS 11 以降) にマネージド アプリとしてインストールされます。 管理された基幹業務アプリは、サポートされているデバイス (macOS 11 以降) で アンインストール 割り当ての種類を使用して削除できます。 さらに、MDM プロファイルを削除すると、すべての管理対象アプリがデバイスから削除されます。 Microsoft Intune管理センターで、[アプリ] [macOS> 追加] の順に>選択します。 アプリの追加の詳細については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Outlook S/MIME メールを常に署名または暗号化できるようにする

iOS/iPadOS および Android Enterprise デバイスのアプリ構成で Outlook 電子メール プロファイルを作成するときに、Outlook S/MIME メールを常に署名または暗号化できるようにします。 この設定は、Outlook アプリ構成ポリシーの作成時に [管理対象デバイス ] を選択したときに使用できます。 この設定は、管理センター Microsoft Intune [アプリ]>[アプリの構成ポリシー] [管理対象デバイスの追加]> の順に>選択することで確認できます。 詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

Workplace Join (WPJ) デバイスの Win32 アプリのサポート

既存の Win32 アプリは、Workplace Join (WPJ) デバイスでサポートされています。 以前は WPJ デバイスでサポートされなかった PowerShell スクリプトを WPJ デバイスにデプロイできるようになりました。 具体的には、デバイス コンテキスト PowerShell スクリプトは WPJ デバイスで機能しますが、ユーザー コンテキストの PowerShell スクリプトは無視されます。これは設計上です。 WPJ デバイスではユーザー コンテキスト スクリプトは無視され、Microsoft Intune コンソールには報告されません。 PowerShell の詳細については、「Intuneのデバイスで PowerShell スクリプトWindows 10使用する」を参照してください。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) の一般公開

DFCI は、オープンソースの統合拡張ファームウェア インターフェイス (UEFI) フレームワークです。 これにより、Microsoft Intuneを使用して Windows Autopilot デバイスの UEFI (BIOS) 設定を安全に管理できます。 また、ファームウェア構成に対するエンド ユーザーの制御も制限されます。

従来の UEFI 管理とは異なり、DFCI を使用すると、サード パーティのソリューションを管理する必要がなくなります。 また、クラウド管理にMicrosoft Intuneを使用して、ゼロタッチファームウェア管理を提供します。 DFCI は、承認のために既存の Windows Autopilot デバイス情報にもアクセスします。

この機能の詳細については、「Intuneの Windows デバイスで DFCI プロファイルを使用する」を参照してください。

重要

Intune管理センターの DFCI ポリシー レポートが期待どおりに機能していませんでした。 すべてのポリシーで "保留中" 状態が報告されました。 この動作は修正されています。

Android Enterprise Basic Wi-Fi プロファイルで [Connect Automatically]\(自動的に接続\) 設定を使用する

Android Enterprise デバイスでは、接続名などの一般的な Wi-Fi 設定を含む基本的な Wi-Fi プロファイルを作成できます。 デバイスが範囲内にあるときに Wi-Fi ネットワークに自動的に接続する [自動接続] 設定を構成できます。

これらの設定を表示するには、[ Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定を追加する] に移動します。

適用対象:

• Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

関連付けられたドメインを使用して macOS デバイスで新しいユーザー エクスペリエンスと新しい [直接ダウンロードを有効にする] 設定

macOS デバイスで関連ドメイン構成プロファイルを作成すると、ユーザー エクスペリエンスが更新されます (デバイス>構成>Create>macOS for platform プロファイル>>のデバイス機能関連ドメイン)。 引き続き、アプリ ID とドメインを入力します。

ユーザーが承認したデバイス登録または自動デバイス登録で登録された macOS 11 以降の監視対象デバイスでは、[ 直接ダウンロードを有効にする] 設定を使用できます。 直接ダウンロードを有効にすると、コンテンツ配信ネットワーク (CDN) を介してダウンロードするのではなく、ドメイン データをデバイスから直接ダウンロードできます。

詳細については、「 macOS デバイス上の関連ドメイン」を参照してください。

適用対象:

• macOS 11 以降 (監視対象)

macOS デバイスの新しいロックアウト パスワード設定

macOS パスワード プロファイルを作成するときに新しい設定を使用できます (プラットフォーム>のデバイス>構成>Create>macOS プロファイル>の [パスワード] のデバイス制限)。

• 許可される最大サインイン試行回数: ユーザーが連続してサインインしてからデバイスがロックされるまでに試行できる最大回数は、2 から 11 です。 この値を大きい数値に設定します。 間違いがよくあるので、この値を 2 または 3 に設定することはお勧めしません。

  すべての登録の種類に適用されます。

• ロックアウト期間: ロックアウトの継続時間を分単位で選択します。 デバイスのロックアウト中はサインイン画面は非アクティブになり、ユーザーはサインインできません。 ロックアウト期間が終了すると、ユーザーは再びサインインできます。 この設定を使用するには、[ 最大サインイン試行回数 ] 設定を構成します。

  macOS 10.10 以降およびすべての登録の種類に適用されます。

これらの設定を表示するには、 macOS パスワード デバイスの制限に関するページを参照してください。

適用対象:

• macOS

必須のパスワードの種類の既定の設定が Android Enterprise デバイスで変更されています

Android Enterprise デバイスでは、必須のパスワードの種類 (デバイス>構成>Create>Android Enterprise for platform >フル マネージド、Dedicated、および Corporate-Owned Work Profileデバイスの制限デバイス パスワード) を設定するデバイス パスワード プロファイル>を>作成できます。

[必須のパスワードの種類] 設定の既定値は、[数値] から [デバイスの既定値] に変更されます。

既存のプロファイルは影響を受けません。 新しいプロファイルでは、 デバイスの既定値が自動的に使用されます。

[デバイスの既定値] が選択されている場合、ほとんどの デバイス ではパスワードは必要ありません。 ユーザーにデバイスでパスコードの設定を要求する場合は、[ 必須のパスワードの種類 ] 設定をデバイスの既定値よりも安全なものに構成 します。

制限できる設定を確認するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象:

• Android Enterprise

macOS Microsoft Enterprise SSO プラグインを構成する

重要

macOS では、Microsoft Entra SSO 拡張機能が Intune ユーザー インターフェイスに一覧表示されますが、期待どおりに機能していませんでした。 この機能は現在機能しており、パブリック プレビューで使用できます。

Microsoft Entra チームは、リダイレクト シングル サインオン (SSO) アプリ拡張機能を作成しました。 このアプリ拡張機能を使用すると、macOS 10.15 以降のユーザーは、Apple の SSO 機能をサポートする Microsoft アプリ、organization アプリ、Web サイトにアクセスできます。 1 つのサインオンで、Microsoft Entra IDを使用して認証されます。

Microsoft Enterprise SSO プラグイン リリースでは、Intune (Devices>Configuration>Create>macOS for platform > Device features for profile >シングル サインオン アプリ拡張機能 SSO アプリ拡張機能の種類で、新しい Microsoft Entra アプリ拡張機能の種類>を使用して SSO 拡張機能>を構成できますMicrosoft Entra ID)。

Microsoft Entra SSO アプリ拡張機能の種類で SSO を取得するには、ユーザーが macOS デバイスにポータル サイト アプリをインストールしてサインインする必要があります。

macOS SSO アプリ拡張機能の詳細については、「 シングル サインオン アプリ拡張機能」を参照してください。

適用対象:

• macOS 10.15 以降

Android デバイス管理者のデバイス制限プロファイルのパスワード設定の変更

最近、Android デバイス管理者のデバイス コンプライアンス ポリシーとデバイス制限の新しい設定として、パスワードの複雑さを追加しました。 Android バージョン 10 以降のパスワードの変更に対応できるように、両方のポリシーの種類の設定の UI にさらに変更を追加Intune。 これらの変更は、パスワードの設定が期待どおりにデバイスに適用され続けるのに役立ちます。

既存のプロファイルには影響を与えない、2 つのポリシーの種類のパスワード設定のIntune UI に対する次の変更があります。

• 設定は、Android 9 以前や Android 10 以降など、設定が適用されるデバイスのバージョンに基づくセクションに再構成されます。
• UI のラベルとテキストの例にUpdatesします。
• PIN への参照を数値またはアルファベットまたは英数字で説明します。

適用対象:

• Android デバイス管理者

新しいバージョンの PFX 証明書コネクタ

PFX Certificate Connector バージョン 6.2008.60.612 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

• Android Enterprise フル マネージド デバイスへの PKCS 証明書の配信に関する問題を修正しました。 この問題では、暗号化キー格納プロバイダー (KSP) がレガシ プロバイダーである必要がありました。 Cryptographic Next Generation (CNG) キー格納プロバイダーも使用できるようになりました。
• PFX Certificate Connector の [CA アカウント] タブに対する変更: 指定したユーザー名とパスワード (資格情報) は、証明書の発行と証明書の失効に使用されるようになりました。 以前は、これらの資格情報は証明書の失効のみに使用されていました。

両方の証明書コネクタのコネクタ リリースのリストを含む、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイスの登録

Intune共有デバイスのプロビジョニングMicrosoft Entraサポート

Intuneを使用すると、Microsoft Authenticator が共有デバイス モードに自動的に構成された Android Enterprise 専用デバイスMicrosoft Entraプロビジョニングできるようになりました。 この登録の種類を使用する方法の詳細については、「Android Enterprise 専用デバイスのIntune登録を設定する」を参照してください。

新規および更新された計画、セットアップ、および登録の展開ガイド

既存の計画と移行のガイドが書き換えられ、新しいガイダンスで更新されます。 また、Intuneセットアップ、Android、iOS/iPadOS、macOS、Windows デバイスの登録に焦点を当てた新しい展開ガイドもあります。

詳細については、「Microsoft Intune計画ガイド」、「展開ガイド: Microsoft Intuneのセットアップまたは移行」、および「展開ガイダンス: Microsoft Intuneにデバイスを登録する」を参照してください。

デバイスのセキュリティ

Microsoft Tunnel の更新プログラム

Microsoft Tunnel Gateway の 新しいバージョン がリリースされました。これには、次の変更が含まれています。

• ログ記録の修正。 トンネル サーバーで journalctl -t mstunnel_monitor コマンド ラインを実行すると、Microsoft Tunnel システム ログが表示されます。
• バグ修正

Tunnel ゲートウェイ サーバーは、新しいリリースに自動的に更新されます。

Android および iOS/iPadOS でのアプリ保護ポリシーのサポートにより、より多くのパートナーがサポート

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。

この更新プログラムでは、アプリ保護ポリシーを使用して、デバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプするために、このサポートを次の 2 つのパートナーに拡張します。

• Android、iOS、iPadOS でのサンドブラストのCheck Point
• Android、iOS、iPadOS での Symantec エンドポイント セキュリティ

詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

Intuneセキュリティ タスクには、Microsoft Defender for Endpoint TVM からの正しく構成されていない設定に関する詳細が含まれています

Microsoft Intuneセキュリティ タスクで、Threat Vulnerability Management (TVM) によって検出された構成の誤りについて、修復の詳細が報告され、提供されるようになりました。 Intuneに報告される構成ミスは、修復ガイダンスを提供できる問題に限定されます。

TVM はMicrosoft Defender for Endpointの一部です。 この更新プログラムの前に、TVM からの詳細には、アプリケーションの詳細と修復手順のみが含まれていました。

セキュリティ タスクを表示すると、問題の種類を識別する [修復の種類 ] という名前の新しい列が表示されます。

• アプリケーション – 脆弱なアプリケーションと修復手順。 この問題の種類は、この更新プログラムの前のセキュリティ タスクで使用できるようになりました。
• 構成 – 構成の誤りを特定し、修復に役立つ手順を提供する、TVM からの新しいカテゴリの詳細。

セキュリティ タスクの詳細については、「Intuneを使用してMicrosoft Defender for Endpointによって識別された脆弱性を修復する」を参照してください。

テナント接続デバイスのエンドポイント セキュリティ ファイアウォール ポリシー

パブリック プレビューとして、Configuration Managerで管理するデバイスにファイアウォールのエンドポイント セキュリティ ポリシーを展開できます。 このシナリオでは、サポートされているバージョンのConfiguration ManagerとIntune サブスクリプションの間でテナントアタッチを構成する必要があります。

テナント接続デバイスのファイアウォール ポリシーは、Windows 10 以降を実行するデバイスでサポートされており、コンソール内修正プログラムKB4578605を使用Configuration Manager現在のブランチ 2006 を実行する環境が必要です。

詳細については、テナントアタッチをサポートIntuneエンドポイント セキュリティ ポリシーの要件に関するページを参照してください。

ブロックと許可リストを使用してハードウェア デバイスのインストールを管理するための設定を拡張しました

エンドポイント セキュリティ攻撃面の縮小ポリシーの一部であるデバイス制御プロファイルでは、ハードウェア デバイスのインストールを管理するための設定を変更し、拡張しました。 デバイス ID、セットアップ クラス、インスタンス識別子を使用してブロックリストと個別の許可リストを定義する設定が見つかります。 次の 6 つの設定を使用できるようになりました。

• デバイス識別子によるハードウェア デバイスのインストールを許可する
• デバイス識別子によってハードウェア デバイスのインストールをブロックする
• セットアップ クラスによるハードウェア デバイスのインストールを許可する
• セットアップ クラスでハードウェア デバイスのインストールをブロックする
• デバイス インスタンス識別子によるハードウェア デバイスのインストールを許可する
• デバイス インスタンス識別子によってハードウェア デバイスのインストールをブロックする

これらの各設定では、[ はい]、[ いいえ]、[ 未構成] のオプションがサポートされています。 [はい] を構成すると、その設定のブロックまたは許可リストを定義できます。 デバイスでは、許可リストで指定されているハードウェアをインストールまたは更新できます。 ただし、ブロックリストに同じハードウェアが指定されている場合、ブロックは許可リストをオーバーライドし、ハードウェアのインストールまたは更新は禁止されます。

エンドポイント セキュリティファイアウォール規則の機能強化

エンドポイント セキュリティ ファイアウォール ポリシーのMicrosoft Defender ファイアウォール規則プロファイルでファイアウォール規則を構成するエクスペリエンスを向上させるために、いくつかの変更を行いました。

改善点は次のとおり：

• ビューを整理するためのセクション ヘッダーなど、UI のレイアウトが改善されました。
• 説明フィールドの文字数制限を増やす。
• IP アドレス エントリの検証。
• IP アドレス 一覧の並べ替え。
• IP アドレス一覧からエントリをクリアするときに 、すべての アドレスを選択するオプション。

iOS のコンプライアンス ポリシーでMicrosoft Defender for Endpointを使用する

パブリック プレビューとして、Intuneデバイス コンプライアンス ポリシーを使用して、iOS デバイスをMicrosoft Defender for Endpointにオンボードできるようになりました。

登録済みの iOS/iPadOS デバイスをオンボードした後、iOS のコンプライアンス ポリシーでは、Microsoft Defenderからの脅威レベルのシグナルを使用できます。 これらの信号は、Android デバイスと Windows 10 デバイスで使用できる信号と同じです。

Defender for iOS アプリは、年末までにパブリック プレビューから一般公開に移行する必要があります。

エンドポイント セキュリティ ウイルス対策ポリシーのセキュリティ エクスペリエンス プロファイルにトライステート オプションが追加されました

エンドポイント セキュリティウイルス対策ポリシーの Windows セキュリティ エクスペリエンス プロファイルに、設定の構成の 3 番目の状態が追加されました。 この更新プログラムは、Windows 10 以降のWindows セキュリティ エクスペリエンスに適用されます)。

たとえば、以前に [ 未構成] と [ はい] が提供されていた設定がプラットフォームでサポートされている場合は、[ いいえ] を選択できるようになりました。

Edge セキュリティ ベースラインの更新バージョン

2020 年 9 月 (Edge バージョン 85 以降) に、Edge の新しいセキュリティ ベースラインをIntuneに追加しました。

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

新しい Microsoft Tunnel バージョン

Microsoft Tunnel Gateway の 新しいバージョン がリリースされました。 新しいバージョンには、次の変更が含まれています。

• Microsoft Tunnel によって、syslog 形式で Linux サーバー ログに操作および監視の詳細が記録されるようになりました。 トンネル サーバーでコマンド ラインを実行すると、journalctl -tMicrosoft Tunnel システム ログを表示できます。
• さまざまなバグ修正。

監視とトラブルシューティング

新しいWindows 10機能更新エラー レポート

機能更新プログラムのエラー操作レポートには、Windows 10機能更新ポリシーを対象とし、更新を試みたデバイスのエラーの詳細が表示されます。 Microsoft Intune管理センターで、[デバイス>モニター>機能の更新エラー] を選択して、このレポートを表示します。 詳細については、「 機能更新エラー レポート」を参照してください。

ウイルス対策レポートへのUpdates

ウイルス対策エージェントの状態レポートと検出されたマルウェア レポートの両方が更新されました。 これらのレポートでは、データの視覚化が表示され、さらに多くの情報列 (SignatureUpdateOverdue、 MalwareID、 displayName、 InitialDetectionDateTime) が提供されるようになりました。 さらに、リモート アクションはウイルス対策エージェントの状態レポートに含まれます。 詳細については、「 ウイルス対策エージェントの状態レポート 」および 「検出されたマルウェア」レポートを参照してください。

Microsoft Intuneのヘルプとサポートを更新しました

ヘルプとサポート エクスペリエンスでは、機械学習を使用して、問題の解決に役立つソリューション、診断、分析情報を表示します。 Microsoft Intune管理センターのヘルプとサポート ページが、操作が簡単で一貫性のある新しい UX エクスペリエンスで更新されました。 新しい UX はコンソールのすべてのブレードでロールアウトされ、より関連性の高いヘルプを得るのに役立ちます。

管理センター内から、次のクラウドベースのオファリングの 更新された統合されたサポート エクスペリエンス が見つかります。

• Intune
• Configuration Manager
• 共同管理
• Microsoft マネージド デスクトップ

スクリプト

[Intuneトラブルシューティング] ウィンドウで PowerShell スクリプトを表示する

[トラブルシューティング] ウィンドウで、割り当てられた PowerShell スクリプトを表示できるようになりました。 PowerShell スクリプトは、高度なデバイス構成やトラブルシューティングなどのエンタープライズ管理タスクを実行するために、Intuneとのクライアント通信Windows 10提供します。 詳細については、「Intune の Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

マネージド Mac 上のシェル スクリプトを使用してカスタム デバイスまたはユーザー プロパティを収集する

シェル スクリプトを使用してマネージド macOS デバイスからカスタム プロパティを収集できるカスタム属性プロファイルを作成できます。 この機能は、Microsoft Intune管理センターで [デバイス>] [macOS>カスタム属性] を選択することで確認できます。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

2020 年 9 月

アプリ管理

Android 用ポータル サイトでの仕事用プロファイル メッセージングの改善

以前に "You're Halfway There!" というタイトルのポータル サイト画面が更新され、仕事用プロファイル管理のしくみの説明が改善されました。 ユーザーは、仕事用プロファイル登録を完了した後に個人プロファイルでポータル サイトを再度有効にした場合に、この画面が表示されます。 また、一部の Android OS バージョンでの仕事用プロファイルの登録中に、この画面が表示される場合があります。ヘルプ ドキュメントの「 Android 仕事用プロファイルを使用して登録する」に示すようにします。

Windows ポータル サイトでの Microsoft Entra Enterprise アプリケーションと Office Online アプリケーションの統合配信

2006 リリースでは、ポータル サイト Web サイトで Microsoft Entra Enterprise アプリケーションと Office Online アプリケーションの統合配信を発表しました。 Windows ポータル サイトでは、この機能がサポートされています。 Intuneの [カスタマイズ] ウィンドウで、Windows ポータル サイトで [Microsoft Entra Enterprise アプリケーションと Office Online アプリケーションの両方を非表示または表示する] を選択します。 各エンド ユーザーには、選択した Microsoft サービスのアプリケーション カタログ全体が表示されます。 既定では、各アプリ ソースは [非表示] に設定されます。 Microsoft Intune管理センターで、[テナント管理>のカスタマイズ] を選択して、この構成設定を見つけます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

リッチ テキストを使用した Windows ポータル サイト アプリの説明

markdown を使用して、Windows ポータル サイトでリッチ テキストを使用してアプリの説明を表示できるようになりました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

アプリ保護ポリシーを使用すると、管理者は受信組織のデータの場所を構成できます

organization ドキュメントへの開き方を許可する信頼できるデータ ソースを制御できるようになりました。 既存の [組織データ アプリ保護ポリシーのコピーを保存する] オプションと同様に、信頼できる受信データの場所を定義できます。 この機能は、次のアプリ保護ポリシー設定に関連します。

• 組織データのコピーを保存
• 組織ドキュメントにデータを開く
• 選択したサービスからデータを開くことをユーザーに許可する

Microsoft Intune管理センターで、[アプリ>アプリ保護ポリシー> Create ポリシー] を選択します。 この機能を使用するには、ポリシーで管理Intuneアプリケーションがこのコントロールのサポートを実装する必要があります。 詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

デバイス構成

COPE プレビューの更新: 仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードの要件を作成するための新しい設定

新しい設定により、管理者は、仕事用プロファイルを持つ Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードの要件を設定できるようになりました。

• パスワードの入力が必要
• パスワードの最小文字数
• パスワードの有効期限が切れるまでの日数
• ユーザーがあるパスワードを再使用できるようになるまでに必要なパスワード数
• デバイスがワイプされるまでのサインイン失敗回数

詳細については、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

COPE プレビューの更新: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスの個人用プロファイルを構成するための新しい設定

仕事用プロファイルを持つ Android Enterprise 企業所有のデバイスの場合、個人用プロファイルにのみ適用される新しい設定があります (デバイス>の構成>Create>Android Enterprise for platform >フル マネージド、Dedicated、Corporate-Owned 仕事用プロファイル> プロファイル>のデバイス制限個人用プロファイル:

• カメラ: 個人的な使用中にカメラへのアクセスをブロックするには、この設定を使用します。
• 画面キャプチャ: この設定を使用して、個人用使用時に画面キャプチャをブロックします。
• ユーザーが個人用プロファイルの不明なソースからのアプリのインストールを有効にすることを許可する: この設定を使用して、ユーザーが個人用プロファイル内の不明なソースからアプリをインストールできるようにします。

適用対象:

• 仕事用プロファイル、個人用に有効なデバイスを備えた Android Enterprise 企業所有のデバイス。

構成できるすべての設定を確認するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

グループ ポリシー分析を使用してオンプレミスの GPO を分析する

デバイス>グループ ポリシー分析では、Intune管理センターでグループ ポリシー オブジェクト (GPO) をインポートできます。 インポートすると、Intuneは GPO を自動的に分析し、Intuneで同等の設定を持つポリシーを表示します。 また、非推奨の GPO、またはサポートされなくなった GPO も表示されます。 詳細については、「 レポート>グループ ポリシー分析> 移行準備レポート」を参照してください。

この機能の詳細については、「グループ ポリシー分析」を参照してください。

適用対象:

• Windows 10 以降

iOS/iPadOS でアプリ クリップをブロックし、macOS デバイスで OS 以外のソフトウェア更新プログラムを延期する

iOS/iPadOS デバイスと macOS デバイスでデバイス制限プロファイルを作成すると、いくつかの新しい設定があります。

iOS/iPadOS 14.0 以降のアプリ クリップのブロック

• iOS/iPadOS 14.0 以降に適用されます。
• デバイスは、デバイス登録または自動デバイス登録 (監視対象デバイス) で登録する必要があります。
• [アプリ クリップのブロック] 設定は、管理対象デバイス上のアプリ クリップをブロックします (プラットフォーム>のデバイス>構成>Create>iOS/iPadOS プロファイル>全般のデバイス制限)。 ブロックされると、ユーザーはアプリ クリップを追加できないため、既存のアプリ クリップは削除されます。

macOS 11 以降のソフトウェア更新プログラムを延期する

• macOS 11 以降に適用されます。 監視対象の macOS デバイスでは、デバイスにユーザーが承認したデバイス登録、または自動デバイス登録によって登録されている必要があります。
• 既存の [ソフトウェア更新プログラムの延期] 設定で、OS 更新プログラムと OS 以外の更新プログラム (プラットフォーム>のデバイス>構成>Create>macOS プロファイル>の [全般] のデバイス制限) を遅延できるようになりました。 ソフトウェア 更新プログラムの既存の遅延可視性 設定は、OS および OS 以外の更新プログラムに適用されます。 OS 以外のソフトウェア更新プログラムを延期しても、スケジュールされた更新プログラムには影響しません。
• 既存のポリシーの動作は、変更、影響を受ける、または削除されません。 既存のポリシーは、同じ構成で新しい設定に自動的に移行されます。

構成できるデバイス制限設定については、「 iOS/iPadOS と macOS」を参照してください。

iOS/iPadOS および macOS デバイスでアプリごとの VPN またはオンデマンド VPN を使用する新しい設定

自動 VPN プロファイルは、デバイス>構成>Create>iOS/iPadOS または macOS for platform >VPN for profile >Automatic VPN で構成できます。 アプリごとの新しい VPN 設定を構成できます。

• ユーザーが自動 VPN を無効にできないようにする: アプリごとの自動 VPN 接続または オンデマンド VPN 接続を作成するときに、自動 VPN を有効にして実行したままにしておくことをユーザーに強制できます。
• 関連付けられているドメイン: アプリごとの自動 VPN 接続を作成するときに、VPN 接続を自動的に開始する関連ドメインを VPN プロファイルに追加できます。 関連するドメインの詳細については、「 関連するドメイン」を参照してください。
• 除外ドメイン: アプリごとの VPN の自動接続を作成するときに、 アプリごとの VPN が接続されているときに VPN 接続をバイパスできるドメインを追加できます。

これらの設定と構成できるその他の設定については、 iOS/iPadOS VPN 設定 と macOS VPN 設定に関するページを参照してください。

iOS/iPadOS デバイス用にアプリごとの仮想プライベート ネットワーク (VPN) を設定します。

適用対象:

• iOS/iPadOS 14 以降
• macOS Big Sur (macOS 11)

iOS/iPadOS デバイス上の IKEv2 VPN 接続の最大伝送単位を設定する

iOS/iPadOS 14 以降のデバイス以降では、IKEv2 VPN 接続 (デバイス構成>Create>iOS/iPadOS for platform >VPN for profile >IKEv2 for connection type) を使用する場合に、カスタム最大伝送ユニット (>MTU) を構成できます。

この設定の詳細と、構成できるその他の設定については、「 IKEv2 設定」を参照してください。

適用対象:

• iOS/iPadOS 14 以降

iOS/iPadOS デバイス上の電子メール プロファイルのアカウントごとの VPN 接続

iOS/iPadOS 14 以降では、ネイティブメール アプリのメール トラフィックは、ユーザーが使用しているアカウントに基づいて VPN 経由でルーティングできます。 Intuneでは、アカウントごとの VPN 設定の VPN プロファイルを構成できます (プロファイルExchange ActiveSync>電子メール設定のプラットフォーム >Email用>のデバイス>構成>Create iOS/iPadOS)。

この機能を使用すると、アカウントベースの VPN 接続に使用するアプリごとの VPN プロファイルを選択できます。 ユーザーがメール アプリで自分のorganization アカウントを使用すると、アプリごとの VPN 接続が自動的にオンになります。

この設定と構成できるその他の設定については、「 iOS および iPadOS デバイスの電子メール設定を追加する」に移動します。

適用対象:

• iOS/iPadOS 14 以降

iOS/iPadOS デバイス上の Wi-Fi ネットワークで MAC アドレスのランダム化を無効にする

iOS/iPadOS 14 以降では、既定では、デバイスはネットワークに接続するときに、物理 MAC アドレスではなくランダム化された MAC アドレスを表示します。 この動作は、MAC アドレスでデバイスを追跡するのが難しいため、プライバシーに推奨されます。 この機能は、ネットワーク アクセス制御 (NAC) を含む静的 MAC アドレスに依存する機能も中断します。

mac アドレスのランダム化は、Wi-Fi プロファイル (>デバイス構成>Create>プロファイルの場合はプラットフォーム> Wi-Fi > の場合は iOS/iPadOSBasic、Wi-Fi の種類は Enterprise) でネットワークごとに無効にすることができます。

この設定と構成できるその他の設定については、「 iOS および iPadOS デバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• iOS/iPadOS 14 以降

デバイスコントロールプロファイルの新しい設定

Windows 10 以降を実行するデバイスの攻撃面の縮小ポリシーの [デバイス制御プロファイル] に設定のペアが追加されました。

• リムーバブル 記憶域
• USB 接続 (HoloLens のみ)

攻撃面の縮小ポリシーは、Intuneのエンドポイント セキュリティの一部です。

デバイスの登録

[登録の状態] ページに重要なキオスク ポリシーが表示される

これで、[登録の状態] ページで次のポリシーが追跡されます

• 割り当てられたアクセス
• キオスク ブラウザーの設定
• Edge ブラウザーの設定

他のすべてのキオスク ポリシーは現在追跡されていません。

デバイス管理

Zebra デバイスの PowerPrecision および PowerPrecision+ バッテリのサポート

デバイスのハードウェアの詳細ページで、PowerPrecision と PowerPrecision+ バッテリーを使用する Zebra デバイスに関する次の情報を確認できるようになりました。

• Zebra によって決定される状態の正常性評価 (PowerPrecision+ バッテリーのみ)
• 使用された完全な充電サイクルの数
• デバイスで最後に見つかったバッテリーの最後のチェックの日付
• デバイスで最後に見つかったバッテリ パックのシリアル番号

COPE プレビューの更新: 仕事用プロファイルを使用して Android Enterprise 企業所有デバイスの仕事用プロファイル パスワードをリセットする

仕事用プロファイルを使用して、Android Enterprise 企業所有のデバイスで仕事用プロファイルのパスワードをリセットできるようになりました。 詳細については、「 パスコードをリセットする」を参照してください。

参加している共同管理デバイスの名前Microsoft Entra変更する

参加している共同管理デバイスの名前Microsoft Entra変更できるようになりました。 詳細については、「Intuneでデバイスの名前を変更する」を参照してください。

テナントアタッチ: 管理センターのデバイス タイムライン

Configuration Managerがテナント接続を介してデバイスを同期してMicrosoft Intuneすると、イベントのタイムラインを確認できます。 このタイムラインには、問題のトラブルシューティングに役立つデバイス上の過去のアクティビティが表示されます。 詳細については、「テナントアタッチ: 管理センターのデバイス タイムライン」を参照してください。

テナントアタッチ: 管理センターのリソース エクスプローラー

Microsoft Intune管理センターから、リソース エクスプローラーを使用して、アップロードされたConfiguration Managerデバイスのハードウェア インベントリを表示できます。 詳細については、「 テナントアタッチ: 管理センターのリソース エクスプローラー」を参照してください。

テナントアタッチ: 管理センターからの CMPivot

CMPivot の機能をMicrosoft Intune管理センターに持ち込む。 ヘルプデスクなどの他のペルソナが、個々のConfigMgrマネージド デバイスに対してクラウドからリアルタイム クエリを開始し、結果を管理センターに返すことを許可します。 この機能は、CMPivot の従来の利点を提供します。 これにより、IT 管理者やその他の指定されたペルソナは、環境内のデバイスの状態をすばやく評価し、アクションを実行できます。

管理センターからの CMPivot の詳細については、「 CMPivot の前提条件」、「 CMPivot の概要」、および 「CMPivot サンプル スクリプト」を参照してください。

テナントアタッチ: 管理センターからスクリプトを実行する

オンプレミスの Configuration Manager スクリプトの実行機能の機能をMicrosoft Intune管理センターに提供します。 ヘルプデスクなどの他のペルソナが、個々のConfiguration Managerマネージド デバイスに対してクラウドから PowerShell スクリプトをリアルタイムで実行できるようにします。 この機能により、Configuration Manager管理者がこの新しい環境に対して既に定義および承認されている PowerShell スクリプトのすべての従来の利点が提供されます。 詳細については、「 テナントアタッチ: 管理センターからスクリプトを実行する」を参照してください。

プレビューでのテナント接続デバイスの改ざん防止ポリシー

プレビューでは、Intune エンドポイント セキュリティウイルス対策ポリシーに新しいプロファイルが追加されました。このポリシーを使用して、テナントに接続されたデバイスの改ざん防止を管理できます。Windows セキュリティ エクスペリエンス (プレビュー))。

新しいウイルス対策ポリシーを作成すると、新しいプロファイルがWindows 10および Windows Server (ConfigMgr) プラットフォームの下にあります。

Intune エンドポイント セキュリティ ポリシーをテナント接続デバイスで使用するには、テナント接続Configuration Manager構成し、デバイスをIntuneと同期する必要があります。

また、Intune ポリシーで改ざん防止を使用してサポートするために必要な特定の前提条件にも注意してください。

デバイスのセキュリティ

プレビュー段階の Microsoft Tunnel Gateway VPN ソリューション

Microsoft Tunnel Gateway をデプロイして、iOS および Android Enterprise (フル マネージド、Corporate-Owned 仕事用プロファイル、仕事用プロファイル) デバイス上のオンプレミス リソースへのリモート アクセスを提供できるようになりました。

Microsoft Tunnel では、最新の認証を使用して、アプリごとの VPN と完全なデバイス VPN、スプリット トンネリング、条件付きアクセス機能がサポートされています。 トンネルでは、運用環境の準備のための高可用性のために複数のゲートウェイ サーバーをサポートできます。

Android デバイスの生体認証のサポート

新しい Android デバイスでは、指紋以外の生体認証のより多様なセットが利用されています。 OEM が指紋以外の生体認証のサポートを実装する場合、エンド ユーザーはこの機能を使用して安全なアクセスとエクスペリエンスを向上させる可能性があります。 Intuneの 2009 リリースでは、Android デバイスでサポートされている内容に応じて、エンド ユーザーが指紋または Face Unlock を使用できるようになります。 認証に指紋以外のすべての種類の生体認証を使用できるようにするかどうかを構成できます。 詳細については、「Android デバイスのアプリ保護 エクスペリエンス」を参照してください。

デバイスのエンドポイント セキュリティ構成の新しい詳細

デバイス エンドポイントのセキュリティ構成の一部として、デバイスの詳細を表示できるようになりました。 ドリル インして、デバイスに展開したポリシーに関する状態の詳細を表示すると、次の設定が表示されます。

• UPN (ユーザー プリンシパル名): UPN は、デバイス上の特定のユーザーに割り当てられているエンドポイント セキュリティ プロファイルを識別します。 この情報は、デバイス上の複数のユーザーと、デバイスに割り当てられているプロファイルまたはベースラインの複数のエントリを区別するのに役立ちます。

詳細については、「 セキュリティ ベースラインの競合を解決する」を参照してください。

エンドポイント セキュリティ ロールの RBAC アクセス許可の拡張

Intuneの Endpoint Security Manager ロールには、リモート タスクに対するロールベースのアクセス制御 (RBAC) アクセス許可が増えています。

このロールは、Microsoft Intune管理センターへのアクセスを許可します。 セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpointなど、セキュリティとコンプライアンスの機能を管理する個人が使用できます。

リモート タスクの新しいアクセス許可は次のとおりです。

• 今すぐ再起動する
• リモート ロック
• BitLockerKeys のローテーション (プレビュー)
• FileVault キーのローテーション
• デバイスの同期
• Microsoft Defender
• 構成マネージャー アクションを開始する

INTUNE RBAC ロールのアクセス許可の完全なセットを表示するには、[ (テナント管理者>Intuneロール>でロール>のアクセス許可を選択します) に移動します。

セキュリティ ベースラインの更新

次のセキュリティ ベースラインでは新しいバージョンを使用できます。

• MDM セキュリティ ベースライン (Windows 10 セキュリティ)
• Microsoft Defender for Endpoint のベースライン

ベースライン バージョンが更新されて、各製品チームが推奨するベスト プラクティス構成を維持するのに役立つ最新の設定がサポートされます。

バージョン間の変更点について理解するために、「ベースラインのバージョンを比較する」を参照し、変更内容が示された .CSV ファイルのエクスポート方法を確認してください。

エンドポイント セキュリティ構成の詳細を使用して、デバイスのポリシー競合の原因を特定する

競合の解決を支援するために、セキュリティ ベースライン プロファイルをドリルインして、選択したデバイスの エンドポイント セキュリティ構成 を表示できるようになりました。 次に、 競合 または エラーを表示する設定を選択できます。 さらにドリルインして、競合の一部であるプロファイルとポリシーを含む詳細の一覧を表示します。

その後、競合の原因となるポリシーを選択した場合、Intuneそのポリシーの [概要] ウィンドウが開き、ポリシーの構成を確認または変更できます。

次のポリシーの種類は、セキュリティ ベースラインをドリルインするときに競合の原因として識別できます。

• デバイス構成ポリシー
• エンドポイント セキュリティ ポリシー

詳細については、「 セキュリティ ベースラインの競合を解決する」を参照してください。

iOS および macOS デバイスでのキー サイズが 4096 の証明書のサポート

iOS/iPadOS または macOS デバイスの SCEP 証明書プロファイルを構成するときに、4096 ビットのキー サイズ (ビット) を指定できるようになりました。

Intuneでは、次のプラットフォームで 4096 ビット キーがサポートされています。

• iOS 14 以降
• macOS 11 以降

SCEP 証明書プロファイルを構成するには、「SCEP 証明書プロファイルのCreate」を参照してください。

Android 11 では、デバイス管理者が登録したデバイスへの信頼されたルート証明書の展開が非推奨になりました

Android 11 以降では、信頼されたルート証明書は 、Android デバイス管理者として登録されているデバイスに信頼されたルート証明書をインストールできなくなります。 この制限は、Samsung Knox デバイスには影響しません。 Samsung 以外のデバイスの場合、ユーザーは信頼されたルート証明書をデバイスに手動でインストールする必要があります。

信頼されたルート証明書がデバイスに手動でインストールされたら、SCEP を使用してデバイスに証明書をプロビジョニングできます。 信頼された証明書ポリシーを作成してデバイスに展開し、そのポリシーを SCEP 証明書プロファイルにリンクする必要があります。

• 信頼されたルート証明書がデバイス上にある場合、SCEP 証明書プロファイルは正常にインストールできます。
• 信頼された証明書がデバイスで見つからない場合、SCEP 証明書プロファイルは失敗します。

詳細については、「Android デバイス管理者向けの信頼された証明書プロファイル」を参照してください。

エンドポイント セキュリティ ファイアウォール ポリシーのその他の設定のトライステート オプション

Windows 10のエンドポイント セキュリティ ファイアウォール ポリシーのいくつかの設定に、3 番目の構成状態が追加されました。

次の設定が更新されます。

• ステートフル ファイル転送プロトコル (FTP) で、 未構成、 許可、 無効がサポートされるようになりました。
• [未構成]、[有効]、[無効] の各サポートをサポートしている、サポートされていない認証スイートのみを無視するように、キーモジュールを要求します。

Android Enterprise の証明書の展開の改善

フル マネージド、専用、および Corporate-Owned 仕事用プロファイルとして登録されている Android Enterprise デバイスでの暗号化と署名に Outlook に S/MIME 証明書 を使用するサポートが強化されました。 以前は、S/MIME を使用するには、デバイス ユーザーがアクセスを許可する必要があります。 これで、S/MIME 証明書をユーザーの操作なしで使用できるようになりました。

サポートされている Android デバイスに S/MIME 証明書を展開するには、デバイス構成に PKCS インポートされた証明書プロファイル または SCEP 証明書プロファイル を使用します。 Android Enterprise のプロファイルをCreateし、[フル マネージド]、[専用]、[Corporate-Owned 仕事用プロファイル] カテゴリから [PKCS インポート済み証明書] を選択します。

セキュリティ ベースライン レポートの状態の詳細の改善

セキュリティ ベースラインの状態の詳細の多くを改善し始めました。 デプロイしたベースライン バージョンに関する情報を表示すると、より意味のある詳細な状態が表示されるようになります。

具体的には、ベースラインを選択し、[ バージョン] を選択し、そのベースラインのインスタンスを選択すると、最初の [概要] に次の情報が表示されます。

• セキュリティ ベースラインのポスチャ チャート - このグラフには、次の状態の詳細が表示されるようになりました。
  • 既定のベースラインと一致する – この状態は ベースラインに一致 し、デバイス構成が既定の (変更されていない) ベースライン構成と一致するタイミングを識別します。
  • カスタム設定と一致する – この状態は、デバイス構成が、構成 (カスタマイズ) してデプロイしたベースラインと一致するタイミングを識別します。
  • 正しく構成されていない – この状態は、デバイスの 3 つの状態条件 ( エラー、 保留中、 または競合) を表すロールアップです。 これらの個別の状態は、次に詳しく説明するように、他のビューから使用できます。
  • [適用不可] - この状態は、ポリシーを受信できないデバイスを表します。 たとえば、ポリシーは最新バージョンの Windows に固有の設定を更新しますが、デバイスはその設定をサポートしていない古い (以前の) バージョンを実行します。
• カテゴリ別のセキュリティ ベースラインの体制 - このビューは、デバイスの状態をカテゴリ別に表示するリスト ビューです。 使用可能な列はセキュリティ ベースラインのポスチャ チャートの大部分ミラーが、誤って構成された状態の代わりに、誤って構成された状態の 3 つの列が表示されます。
  • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
  • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
  • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。

Android 10 以降のデバイス管理者が登録したデバイスのパスワードの複雑さの新しい設定

Android デバイス管理者として登録されているデバイスで Android 10 以降の新しいオプションをサポートするために、デバイス コンプライアンス ポリシーとデバイス制限ポリシーの両方に「パスワードの複雑さ」という新しい設定が追加されました。 この新しい設定を使用して、パスワードの種類、長さ、品質を考慮したパスワード強度の 測定値 を管理します。

パスワードの複雑さは、Samsung Knox デバイスには適用されません。 これらのデバイスでは、パスワードの長さと種類の設定がパスワードの複雑さをオーバーライドします。

パスワードの複雑さは、次のオプションをサポートします。

• なし - パスワードなし
• 低 - パスワードは次のいずれかを満たします。
  • パターン
  • 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN
• Medium - パスワードは次のいずれかを満たします。
  • 繰り返しのない PIN (4444) または順序付け (1234、4321、2468) シーケンス、長さ 4 以上
  • アルファベット、長さ 4 以上
  • 英数字、長さ 4 以上
• High - パスワードは次のいずれかを満たします。
  • 繰り返し (4444) または順序付け (1234、4321、2468) シーケンスのない PIN、長さ 8 以上
  • アルファベット、長さ 6 以上
  • 英数字、長さ 6 以上

この新しい設定は、引き続き進行中です。 2020 年 10 月下旬に、パスワードの複雑さがデバイスで有効になります。

[パスワードの複雑さ] を [なし] 以外に設定した場合は、別の設定も構成する必要があります。 その他の設定では、複雑さの要件を満たしていないパスワードを使用するエンド ユーザーが、パスワードを更新するための警告を受け取ります。

• [デバイスコンプライアンス]: [モバイル デバイスのロックを解除するためにパスワードを要求する] を [必須] に設定します。
• デバイスの制限: [パスワード] を [必須] に設定します

他の設定を [必須] に設定しないと、脆弱なパスワードを持つユーザーは警告を受け取りません。

監視とトラブルシューティング

エンドポイント分析の一般公開

エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポートのコストを削減することを目的としています。 これらの分析情報を使用すると、IT はプロアクティブ なサポートを使用してエンド ユーザー エクスペリエンスを最適化し、構成変更のユーザーの影響を評価することで、ユーザー エクスペリエンスへの回帰を検出できます。 詳細については、「 エンドポイント分析」を参照してください。

運用レポートに一覧表示されているデバイスの一括アクション

Microsoft Intuneセキュリティで提供される新しいウイルス対策レポートの一部として、検出されたマルウェア運用レポートWindows 10は、レポート内で選択されたデバイスに適用される一括アクションを提供します。 アクションには、 再起動、 クイック スキャン、 フル スキャンが含まれます。 詳細については、「検出されたマルウェア レポートWindows 10」を参照してください。

Graph API を使用してIntune レポートをエクスポートする

Intune レポート インフラストラクチャに移行されたすべてのレポートは、単一の最上位レベルのエクスポート API からエクスポートできます。 詳細情報については、「Graph API を使用して Intune レポートをエクスポートする」を参照してください。

Windows 10 以降の新しいMicrosoft Defenderウイルス対策レポート

Microsoft IntuneのWindows 10にMicrosoft Defender ウイルス対策の新しいレポートを 4 つ追加します。 これらのレポートには、次のものが含まれます。

• 異常なエンドポイントと検出されたマルウェアWindows 10 Windows 10、2 つの運用レポート。 管理センター Microsoft Intuneで、[エンドポイント セキュリティ>ウイルス対策] を選択します。
• ウイルス対策エージェントの状態と検出されたマルウェアの 2 つの組織レポート。 管理センター Microsoft Intuneで、[レポートMicrosoft Defenderウイルス対策] を選択します>。

詳細については、「Intune レポート」および「Microsoft Intuneでのエンドポイント セキュリティの管理」を参照してください。

新しいWindows 10機能更新レポート

Windows 10機能更新レポートは、Windows 10機能更新プログラム ポリシーを対象とするデバイスのコンプライアンスの全体像を提供します。 Microsoft Intune管理センターで、[Windows 更新プログラムのレポート]> を選択して、このレポートの概要を表示します。 特定のポリシーのレポートを表示するには、 Windows 更新プログラム ワークロードから [ レポート ] タブを選択し、 Windows 機能更新プログラム レポートを開きます。 詳細については、「Windows 10機能更新プログラム」を参照してください。

2020 年 8 月

アプリ管理

Apple VPP トークンを削除する前に、関連付けられているライセンスが取り消されました

Microsoft Intuneで Apple VPP トークンを削除すると、そのトークンに関連付けられているIntune割り当てられたすべてのライセンスは、削除前に自動的に取り消されます。

Android 用アプリの [デバイス設定の更新] ページポータル サイト改善され、説明が表示される

Android デバイス上のポータル サイト アプリの [デバイス設定の更新] ページには、準拠するために更新する必要がある設定の一覧が表示されます。 ユーザーは問題を展開して詳細情報を確認し、[解決] ボタンを表示します。

このユーザー エクスペリエンスが改善されました。 一覧表示される設定が既定で展開されて、説明が表示され、[解決] ボタン (適用できる場合) が表示されるようになりました。 以前は、問題は既定では折りたたまれていました。 この新しい既定の動作によってクリック回数が減るため、ユーザーがより迅速に問題を解決できるようになります。

ポータル サイトでは、アプリケーションのサポートConfiguration Manager追加されます

ポータル サイトでは、Configuration Manager アプリケーションがサポートされるようになりました。 エンド ユーザーはこの機能によって、共同管理されている顧客に対して、ポータル サイト上で Configuration Manager および Intune の両方にデプロイされているアプリケーションを表示できるようになります。 この新しいバージョンのポータル サイトには、共同管理されているすべての顧客に対して、Configuration Manager にデプロイされているアプリが表示されます。 このサポートは、管理者がさまざまなエンド ユーザー ポータル エクスペリエンスを統合するのに役立ちます。 詳細については、「共同管理デバイスでポータル サイト アプリを使用する」を参照してください。

デバイス構成

iOS/iPadOS デバイスと macOS デバイスの VPN 接続の種類として NetMotion を使用する

VPN プロファイルを作成すると、NetMotion は VPN 接続の種類として使用できます (デバイス>の構成>Create>iOS/iPadOS または macOS for platform >VPN for profile >NetMotion for connection type)。

Intune での VPN プロファイルの詳細については、「VPN プロファイルを作成して VPN サーバーに接続する」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

Windows 10 Wi-Fi プロファイルのその他の保護された拡張認証プロトコル (PEAP) オプション

Windows 10デバイスでは、拡張認証プロトコル (EAP) を使用して Wi-Fi プロファイルを作成し、Wi-Fi 接続 (デバイス>構成>Create Windows 10>以降のプロファイル>用のプラットフォーム> Wi-Fi を認証できます。

[保護された EAP (PEAP)] を選択すると、使用可能な新しい設定があります。

• PEAP フェーズ 1 でサーバー検証を実行する: PEAP ネゴシエーション フェーズ 1 では、証明書の検証によってサーバーが検証されます。
  • PEAP フェーズ 1 でサーバー検証のユーザー プロンプトを無効にする: PEAP ネゴシエーション フェーズ 1 では、信頼された証明機関に対して新しい PEAP サーバーを承認するように求めるユーザー プロンプトは表示されません。
• 暗号化バインドが必要: PEAP ネゴシエーション中に暗号化バインドを使用しない PEAP サーバーへの接続を禁止します。

構成できる設定を確認するには、[Windows 10 以降のデバイスの Wi-Fi 設定を追加する] に移動します。

適用対象:

• Windows 10 以降

顔と虹彩のスキャンを使用して Android Enterprise 仕事用プロファイル デバイスのロックを解除できないようにする

ユーザーが顔スキャンまたは虹彩スキャンを使用して、デバイス レベルまたは仕事用プロファイル レベルで仕事用プロファイルで管理されているデバイスのロックを解除できないようにできるようになりました。 この機能は、デバイス>の構成>Create>Android Enterprise for platform >仕事用プロファイル > プロファイル>の [仕事用プロファイルの設定] と [パスワード] セクションのデバイス制限で設定できます。

詳細については、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• Android Enterprise の作業プロフィール

Microsoft Enterprise SSO プラグインを使用して、より多くの iOS/iPadOS アプリで SSO アプリ拡張機能を使用する

Apple デバイス用の Microsoft Enterprise SSO プラグインは、SSO アプリ拡張機能をサポートするすべてのアプリで使用できます。 Intuneでは、この機能は、Apple デバイス用の Microsoft 認証ライブラリ (MSAL) を使用しないモバイル iOS/iPadOS アプリでプラグインが機能することを意味します。 アプリは MSAL を使用する必要はありませんが、Microsoft Entra エンドポイントで認証する必要があります。

プラグインで SSO を使用するように iOS/iPadOS アプリを構成するには、アプリ バンドル識別子を iOS/iPadOS 構成プロファイル (デバイス>構成>Create>iOS/iPadOS for platform >デバイス機能用プロファイル>シングル サインオン アプリ拡張機能>Microsoft Entra ID SSO アプリ拡張機能の種類>のアプリ バンドルに追加します。ID)。

構成できる現在の SSO アプリ拡張機能の設定を確認するには、[ シングル サインオン アプリ拡張機能] に移動します。

適用対象:

• iOS/iPadOS

PFX 証明書コネクタの新しいバージョンと PKCS 証明書プロファイルのサポートの変更

PFX Certificate Connector バージョン 6.2008.60.607 の新しいバージョンをリリースしました。 この新しいコネクタのバージョンの内容:

• サポートされているすべてのプラットフォームで PKCS 証明書プロファイルをサポートWindows 8.1

  PFX 証明書コネクタのすべての PCKS サポートを統合しました。 そのため、環境内で SCEP を使用せず、他の意図に NDES を使用しない場合は、Microsoft Certificate Connector を削除し、環境から NDES をアンインストールできます。

• Microsoft Certificate Connector には機能が削除されていないため、それらを引き続き使用して PKCS 証明書プロファイルをサポートできます。

• Outlook S/MIME の証明書失効をサポート

• .NET Framework 4.7.2 が必要

両方の証明書コネクタのコネクタ リリースの一覧など、証明書コネクタの詳細については、「証明書コネクタ」を参照してください。

デバイス管理

テナントアタッチ: 管理センターからアプリケーションをインストールする

Microsoft Intune管理センターから、テナントに接続されたデバイスに対してアプリケーションのインストールをリアルタイムで開始できるようになりました。 詳細については、「 テナントのアタッチ: 管理センターからアプリケーションをインストールする」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーをテナント接続デバイスに展開する (プレビュー)

プレビューとして、Configuration Managerで管理するデバイスにウイルス対策のエンドポイント セキュリティ ポリシーを展開できます。 このシナリオでは、サポートされているバージョンのConfiguration ManagerとIntune サブスクリプションの間でテナントアタッチを構成する必要があります。 次のバージョンのConfiguration Managerがサポートされています。

• Configuration Manager current branch 2006

詳細については、「Intune エンドポイント セキュリティ ポリシーの要件」を参照してください。/protect/tenant-attach-intune.md# requirements-for-intune-endpoint-security-policies) テナントアタッチをサポートします。

エンドポイント セキュリティウイルス対策ポリシーの除外に関する変更

エンドポイント セキュリティ ウイルス対策ポリシーの一部として構成したMicrosoft Defenderウイルス対策除外リストを管理するための 2 つの変更が導入されました。 この変更は、さまざまなポリシー間の競合を防ぎ、以前にデプロイしたポリシーに存在する可能性がある除外リストの競合を解決するのに役立ちます。

どちらの変更も、次のMicrosoft Defenderウイルス対策構成サービス プロバイダー (CSP) のポリシー設定に適用されます。

• Defender/ExcludedPaths
• Defender/ExcludedExtensions
• Defender/ExcludedProcesses

変更は次のとおりです。

• 新しいプロファイルの種類: Microsoft Defenderウイルス対策の除外 - この新しいプロファイルの種類をWindows 10以降に使用して、ウイルス対策の除外のみに焦点を当てたポリシーを定義します。 このプロファイルは、除外リストを他のポリシー構成から分離することで、除外リストの管理を簡略化するのに役立ちます。

  構成できる除外には、Defender プロセス、ファイル拡張子、スキャンしないファイルとフォルダー Microsoft Defender含まれます。

• ポリシーのマージ – Intune、個別のプロファイルで定義した除外の一覧が、各デバイスまたはユーザーに適用される除外の 1 つのリストにマージされるようになりました。 たとえば、3 つの個別のポリシーを持つユーザーを対象とする場合、これらの 3 つのポリシーの除外リストは、Microsoft Defenderウイルス対策除外の単一のスーパーセットにマージされ、そのユーザーに適用されます。

Windows ファイアウォール規則のアドレス範囲の一覧をインポートおよびエクスポートする

.csv ファイルを使用してアドレス範囲の一覧をインポートまたはエクスポートするためのサポートが、エンドポイント セキュリティのファイアウォール ポリシーのMicrosoft Defender ファイアウォール規則プロファイルに追加されました。 次の Windows ファイアウォール規則の設定で、インポートとエクスポートがサポートされるようになりました。

• ローカル アドレス範囲
• リモート アドレス範囲

また、重複または無効なエントリを防ぐために、ローカルアドレスとリモートアドレス範囲の両方のエントリの検証も改善しました。

これらの設定の詳細については、Microsoft Defender ファイアウォール規則の設定に関するページを参照してください。

サード パーティの MDM プロバイダーからデバイス コンプライアンス状態を設定する

Intuneでは、デバイスコンプライアンスの詳細のソースとしてサードパーティの MDM ソリューションがサポートされるようになりました。 このサードパーティのコンプライアンス データを使用して、iOS および Android 上の Microsoft 365 アプリに対して、Microsoft Intuneとの統合を通じて条件付きアクセス ポリシーを適用できます。 Intuneは、サード パーティのプロバイダーからのコンプライアンスの詳細を評価して、デバイスが信頼されているかどうかを判断し、Microsoft Entra IDで条件付きアクセス属性を設定します。 引き続き、Microsoft Intune管理センターまたはMicrosoft Entra 管理センター内からMicrosoft Entra条件付きアクセス ポリシーを作成します。

このリリースでは、パブリック プレビューとして、次のサードパーティ MDM プロバイダーがサポートされています。

• VMware Workspace ONE UEM (以前は AirWatch と呼ばれる)

この更新プログラムは、世界中のお客様にロールアウトされています。 この機能は次の週内に表示されます。

Intune アプリ

Windows ポータル サイト プロファイル ページにカスタム ブランド イメージが表示されるようになりました

Microsoft Intune管理者は、カスタム ブランド イメージをIntuneにアップロードできます。 このイメージは、Windows ポータル サイト アプリのユーザーのプロファイル ページに背景画像として表示されます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

2020 年 7 月

アプリ管理

Android 上のポータル サイトアプリとIntune アプリのデバイス アイコンに更新する

Android デバイス上の ポータル サイト および Intune アプリのデバイス アイコンを更新し、よりモダンな外観を作成し、Microsoft Fluent Design Systemに合わせて調整しました。 詳細については、「iOS/iPadOS および macOS 用ポータル サイトアプリのアイコンに更新する」を参照してください。

Exchange オンプレミス コネクタのサポート

Intuneでは、2007 (7 月) リリース以降、Intune サービスから Exchange オンプレミス コネクタ機能のサポートが削除されます。 アクティブなコネクタを持つ既存のお客様は、現在の機能を引き続き使用できます。 アクティブなコネクタを持たない新しい顧客と既存の顧客は、新しいコネクタを作成したり、IntuneからExchange ActiveSync (EAS) デバイスを管理したりできなくなります。 これらのお客様には、Exchange ハイブリッド 先進認証 (HMA) を使用して Exchange オンプレミスへのアクセスを保護することをお勧めします。 HMA を使用すると、Intune App Protection ポリシー (MAM とも呼ばれます) と Outlook Mobile を使用した条件付きアクセスの両方が Exchange On-Premises に対して有効になります。

登録なしの iOS および Android デバイス上の Outlook の S/MIME

管理対象アプリのアプリ構成ポリシーを使用して、iOS および Android デバイスで Outlook の S/MIME を有効にできるようになりました。 この機能を使用すると、デバイス登録の状態に関係なくポリシー配信が可能になります。 管理センター Microsoft Intuneで、[アプリ]>[アプリ構成ポリシー] [管理対象アプリの追加]> の>順に選択します。 また、ユーザーが Outlook でこの設定を変更できるようにするかどうかを選択することもできます。 ただし、iOS および Android 用の Outlook に S/MIME 証明書を自動的に展開するには、デバイスを登録する必要があります。 S/MIME に関する一般的な情報については、「S/MIME の概要」を参照して、Intuneで電子メールに署名および暗号化します。 Outlook の構成設定の詳細については、「 Microsoft Outlook の構成設定 」および「 デバイス登録なしでマネージド アプリのアプリ構成ポリシーを追加する」を参照してください。 Outlook for iOS および Android の S/MIME 情報については、「 S/MIME シナリオ と 構成キー - S/MIME 設定」を参照してください。

デバイス構成

Windows 10および新しいデバイスの新しい VPN 設定

IKEv2 接続の種類を使用して VPN プロファイルを作成する場合、構成できる新しい設定 (デバイス>構成>Create Windows 10>以降のプロファイルベース VPN の>プラットフォーム >VPN) があります。

• デバイス トンネル: ユーザーのサインインなど、ユーザー操作を必要とせずに、デバイスが VPN に自動的に接続できるようにします。 この機能では、Always Onを有効にし、認証方法としてマシン証明書を使用する必要があります。
• 暗号化スイートの設定: IKE と子のセキュリティ アソシエーションをセキュリティで保護するために使用するアルゴリズムを構成します。これにより、クライアントとサーバーの設定を一致させることができます。

構成できる設定を確認するには、[Windows デバイスの設定] に移動して、Intuneを使用して VPN 接続を追加します。

適用対象:

• Windows 10 以降

Android Enterprise デバイス (COBO) のデバイス制限プロファイルでより多くの Microsoft Launcher 設定を構成する

Android Enterprise フル マネージド デバイスでは、デバイス制限プロファイル (デバイス>構成>Create>プラットフォームの > [デバイス所有者のみ>] [デバイスの制限>] [デバイスエクスペリエンス>のフル マネージド] を使用して、より多くの Microsoft Launcher 設定を構成できます。

これらの設定を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

アプリ構成プロファイルを使用して Microsoft Launcher 設定を 構成することもできます。

適用対象:

• Android Enterprise デバイス所有者フル マネージド デバイス (COBO)

Android Enterprise デバイス所有者専用デバイス (COSU) でのマネージド ホーム スクリーンの新機能

Android Enterprise デバイスでは、管理者はデバイス構成プロファイルを使用して、マルチアプリ キオスク モード (デバイス>構成>Create>Android Enterprise for platform >Device Owner Only>Device Restrictions for profile >Device experience>を使用して専用デバイスのマネージド ホーム スクリーンをカスタマイズできます専用デバイス>マルチアプリ)。

具体的には次のことができます。

• アイコンをカスタマイズし、画面の向きを変更し、バッジ アイコンにアプリ通知を表示する
• [管理設定] ショートカットを非表示にする
• デバッグ メニューへのアクセスが容易
• Wi-Fi ネットワークの許可リストをCreateする
• デバイス情報へのアクセスが容易

詳細については、「 Android Enterprise デバイスの設定」を参照して、機能を許可または制限します 。 このブログを参照してください。

適用対象:

• Android Enterprise デバイス所有者、専用デバイス (COSU)

Microsoft Edge 84 用に更新された管理用テンプレート

Microsoft Edge で使用できる ADMX 設定が更新されました。 エンド ユーザーは、Edge 84 で追加された新しい ADMX 設定を構成して展開できるようになりました。 詳細については、 Edge 84 リリース ノートを参照してください。

デバイスの登録

iOS ポータル サイトでは、ユーザー アフィニティなしで Apple の自動デバイス登録がサポートされます

iOS ポータル サイトは、割り当てられたユーザーを必要とせずに、Apple の自動デバイス登録を使用して登録されたデバイスでサポートされるようになりました。 エンド ユーザーは、iOS ポータル サイトにサインインして、デバイス アフィニティなしで登録された iOS/iPadOS デバイスのプライマリ ユーザーとして自分自身を確立できます。 自動デバイス登録の詳細については、「 iOS/iPadOS デバイスを Apple の自動デバイス登録に自動的に登録する」を参照してください。

企業所有の個人用に有効なデバイス (プレビュー)

Intuneでは、ANDROID 8 以降の OS バージョンの仕事用プロファイルを持つ Android Enterprise 企業所有のデバイスがサポートされるようになりました。 仕事用プロファイルを持つ企業所有のデバイスは、Android Enterprise ソリューション セットの企業管理シナリオの 1 つです。 このシナリオは、企業および個人での使用を目的としたシングル ユーザー デバイス用です。 この企業所有の個人用対応 (COPE) シナリオでは、次の機能が提供されます。

• 仕事用および個人用プロファイルのコンテナー化
• 管理者向けのデバイス レベルの制御
• エンド ユーザーの個人データとアプリケーションがプライベートのままであることを保証する

最初のパブリック プレビュー リリースには、一般公開リリースに含まれる機能のサブセットが含まれます。 より多くの機能がローリングベースで追加されます。 最初のプレビューで使用できる機能は次のとおりです。

• 登録: 管理者は、有効期限が切れない一意のトークンを持つ複数の登録プロファイルを作成できます。 デバイス登録は、NFC、トークン入力、QR コード、ゼロタッチ、または Knox Mobile Enrollment を使用して行うことができます。
• デバイス構成: 既存のフル マネージドおよび専用デバイス設定のサブセット。
• デバイスのコンプライアンス: フル マネージド デバイスで現在使用できるコンプライアンス ポリシー。
• デバイス アクション: デバイスの削除 (出荷時のリセット)、デバイスの再起動、デバイスのロック。
• アプリ管理: アプリの割り当て、アプリ構成、および関連するレポート機能
• 条件付きアクセス

企業所有の仕事用プロファイル プレビューの詳細については、 サポート ブログを参照してください。

デバイス管理

テナントアタッチ: 管理センター ConfigMgrクライアントの詳細 (プレビュー)

Microsoft Intune 管理センターで、コレクション、境界グループ メンバーシップ、特定のデバイスのリアルタイム クライアント情報など、ConfigMgrクライアントの詳細を確認できるようになりました。 詳細については、「テナントのアタッチ: 管理センターでクライアントの詳細をConfigMgrする (プレビュー)」を参照してください。

macOS デバイスのリモート ロック アクションにUpdatesする

macOS デバイスのリモート ロック アクションの変更点は次のとおりです。

• 回復ピンは、削除前の 30 日間 (7 日間ではなく) 表示されます。
• 管理者が 2 つ目のブラウザーを開き、別のタブまたはブラウザーからコマンドを再度トリガーしようとすると、Intuneコマンドが実行されます。 ただし、レポートの状態は、新しいピンを生成するのではなく、失敗に設定されます。
• 前のコマンドがまだ保留中の場合、またはデバイスが再度チェックインされていない場合、管理者は別のリモート ロック コマンドを発行できません。 これらの変更は、複数のリモート ロック コマンドの後に正しいピンが上書きされないように設計されています。

デバイス アクション レポートでは、ワイプと保護されたワイプが区別されます

デバイス アクション レポートで、ワイプアクションと保護されたワイプアクションが区別されるようになりました。 レポートを表示するには、[Microsoft Intune管理センター>の [デバイスの監視>] [デバイス>の操作] ([その他] の下) に移動します。

デバイスのセキュリティ

Microsoft Defender ファイアウォール規則移行ツールのプレビュー

パブリック プレビューとして、ファイアウォール規則を移行する PowerShell ベースのツールMicrosoft Defender取り組んでいます。 ツールをインストールして実行すると、Intuneのエンドポイント セキュリティ ファイアウォール規則ポリシーが自動的に作成されます。 ルールは、Windows 10 クライアントの現在の構成に基づいています。 詳細については、「 エンドポイント セキュリティ ファイアウォール規則移行ツールの概要」を参照してください。

テナント接続デバイスをMicrosoft Defender for Endpointにオンボードするためのエンドポイント検出と応答ポリシーが一般公開

Intuneのエンドポイント セキュリティの一環として、Configuration Manager によって管理されるデバイスで使用するためのエンドポイント検出と応答 (EDR) ポリシーが一般公開されています。

サポートされているバージョンのConfiguration Managerのデバイスで EDR ポリシーを使用するには、Configuration Managerのテナントアタッチを構成します。 テナントのアタッチ構成を完了したら、EDR ポリシーを展開して、Microsoft Defender for EndpointにConfiguration Managerによって管理されるデバイスをオンボードできます。

Bluetooth 設定は、エンドポイント セキュリティ攻撃面の縮小ポリシーのデバイス制御プロファイルで使用できます

Windows 10 デバイスの Bluetooth を管理するための設定を、エンドポイント セキュリティ攻撃面の縮小ポリシーのデバイス制御プロファイルに追加しました。 これらの設定は、 デバイス構成のデバイス制限プロファイルで使用できる設定と同じです。

Windows 10 デバイスのエンドポイント セキュリティ ウイルス対策ポリシーを使用して定義更新プログラムのソースの場所を管理する

Windows 10 デバイスのエンドポイント セキュリティ ウイルス対策ポリシーのUpdatesカテゴリに新しい設定があります。 これらの設定は、デバイスが更新プログラムの定義を取得する方法を管理するのに役立ちます。

• 定義の更新プログラムをダウンロードするためのファイル共有を定義する
• 定義更新プログラムをダウンロードするためのソースの順序を定義する

新しい設定では、定義の更新のダウンロード ソースの場所として UNC ファイル共有を追加し、異なるソースの場所に接続する順序を定義できます。

セキュリティ ベースライン ノードの改善

Microsoft Intune管理センターのセキュリティ ベースライン ノードの使いやすさを向上させるために、いくつかの変更を加えています。 エンドポイント セキュリティ セキュリティベースラインにドリル インし、MDM セキュリティ >ベースラインなどのセキュリティ ベースラインの種類を選択すると、[プロファイル] ウィンドウが表示されます。 [プロファイル] ウィンドウで、その基準計画の種類に対して作成したプロファイルを表示します。 以前は、コンソールに [概要] ウィンドウが表示されました。これには、個々のプロファイルのレポートで見つかった詳細と必ずしも一致しない集計データ ロールアップが含まれていました。

[プロファイル] ウィンドウから、ドリルインするプロファイルを選択して、そのプロファイルのプロパティと [モニター] で使用できるさまざまなレポートを表示できます。 同様に、プロファイルと同じレベルでは、[ バージョン ] を選択して、展開したプロファイルの種類のさまざまなバージョンを表示できます。 バージョンにドリルインすると、プロファイル レポートと同様にレポートにもアクセスできます。

Windows の派生資格情報のサポート

Windows デバイスで派生資格情報を使用できるようになりました。 この機能により、iOS/iPadOS と Android の既存のサポートが拡張され、同じ派生資格情報プロバイダーで使用できるようになります。

• Entrust
• Intercede
• DISA Purebred

Widows のサポートには、Wi-Fi または VPN プロファイルに対する認証に派生資格情報の使用が含まれます。 Windows デバイスの場合、派生資格情報は、使用する派生資格情報プロバイダーによって提供されるクライアント アプリから発行されます。

Intuneではなく、デバイス ユーザーによって暗号化されたデバイスの FileVault 暗号化を管理する

Intuneでは、Intune ポリシーではなく、デバイス ユーザーによって暗号化された macOS デバイスでの FileVault ディスク暗号化の管理を想定できるようになりました。 このシナリオでは、次のものが必要です。

• FileVault を有効にするIntuneからディスク暗号化ポリシーを受信するデバイス。
• ポータル サイト Web サイトを使用して、暗号化されたデバイスの個人用回復キーをIntuneにアップロードするデバイス ユーザー。 キーをアップロードするには、暗号化された macOS デバイスの [ストア回復キー ] オプションを選択します。

ユーザーが回復キーをアップロードした後、Intuneキーをローテーションして、キーが有効であることを確認します。 Intuneは、デバイスを直接暗号化するためにポリシーを使用したかのように、キーと暗号化を管理できるようになりました。 ユーザーがデバイスを回復する必要がある場合は、次の場所から任意のデバイスを使用して回復キーにアクセスできます。

• ポータル サイト Web サイト
• iOS/iPadOS 用ポータル サイト アプリ
• Android 用ポータル サイト アプリ
• Intune アプリ

macOS FileVault ディスク暗号化中にデバイス ユーザーから個人用回復キーを非表示にする

エンドポイント セキュリティ ポリシーを使用して macOS FileVault ディスク暗号化を構成する場合は、[ 回復キーを非表示にする] 設定を使用して、デバイスが暗号化されている間に 、個人の回復キー がデバイス ユーザーに表示されないようにします。 暗号化中にキーを非表示にすると、デバイスの暗号化を待っている間にユーザーが書き留めることができないため、セキュリティを維持するのに役立ちます。

後で回復が必要な場合、ユーザーは任意のデバイスを使用して、次のオプションを使用して個人用回復キーを表示できます。

• Intune ポータル サイト Web サイト
• iOS/iPadOS ポータル サイト アプリ
• Android ポータル サイト アプリ
• Intune アプリ

デバイスのセキュリティ ベースラインの詳細の表示の改善

これで、デバイスの詳細にドリルインして、デバイスに適用されるセキュリティ ベースラインの設定の詳細を表示できます。 設定は、設定カテゴリ、設定名、および状態を含む、シンプルでフラットな一覧に表示されます。 詳細については、「 デバイスごとのエンドポイント セキュリティ構成の表示」を参照してください。

監視とトラブルシューティング

英語でのデバイス コンプライアンス ログの表示

Intune DeviceComplianceOrg ログには、以前は ComplianceState、OwnerType、DeviceHealthThreatLevel の列挙のみが含まれています。 次に、これらのログには列に英語の情報が含まれています。

Power BI コンプライアンス レポート テンプレート V2.0

Power BI テンプレート アプリを使用すると、Power BI パートナーはコーディングがほとんどまたはまったくない Power BI アプリを構築し、Power BI のお客様にデプロイできます。 管理者は、Power BI コンプライアンス レポート テンプレートのバージョンを V1.0 から V2.0 に更新できます。 V2.0 には、改善された設計と、テンプレートの一部として表示される計算とデータの変更が含まれています。 詳細については、「Power BI を使用してData Warehouseに接続する」および「テンプレート アプリを更新する」を参照してください。 また、Intune Data Warehouseを使用した Power BI コンプライアンス レポートの新しいバージョンの発表に関するブログ記事も参照してください。

役割ベースのアクセス制御

プロファイルの割り当てとプロファイルのアクセス許可の変更の更新

自動デバイス登録フローのプロファイルと更新プロファイルの割り当てに対するロールベースのアクセス制御アクセス許可が変更されました。

プロファイルの割り当て: このアクセス許可を持つ管理者は、プロファイルをトークンに割り当て、自動デバイス登録のトークンに既定のプロファイルを割り当てることもできます。

プロファイルの更新: このアクセス許可を持つ管理者は、自動デバイス登録の既存のプロファイルのみを更新できます。

これらのロールを表示するには、管理センター>の [テナント管理>ロール>] [すべてのロール>Create Permissions> ロール] のMicrosoft Intune>に移動します。

スクリプト

Data Warehouse v1.0 プロパティ

Intune Data Warehouse v1.0 を使用して、その他のプロパティを使用できます。 次のプロパティが devices エンティティを介して公開されるようになりました。

• ethernetMacAddress - このデバイスの一意のネットワーク識別子。
• office365Version - デバイスにインストールされている Microsoft 365 のバージョン。

devicePropertyHistories エンティティを介して、次のプロパティが公開されるようになりました。

• physicalMemoryInBytes - 物理メモリ (バイト単位)。
• totalStorageSpaceInBytes - ストレージ容量の合計 (バイト単位)。

詳細については、「Microsoft Intune Data Warehouse API」を参照してください。

2020 年 6 月

アプリ管理

マネージド アプリの通信データ転送保護

保護されたアプリでハイパーリンク付きの電話番号が検出されると、割り当てられたアプリ保護ポリシーで番号をダイヤラー アプリに転送できるかどうかをIntune チェックします。 この種類のコンテンツ転送は、ポリシーマネージド アプリから開始されたときに処理する方法を選択できます。 Microsoft Intuneでアプリ保護ポリシーを作成するときは、[組織データを他のアプリに送信する] からマネージド アプリ オプションを選択し、[通信データの転送先] からオプションを選択します。 このデータ保護設定の詳細については、「Microsoft Intuneおよび iOS アプリ保護ポリシー設定」の「Androidアプリ保護ポリシー設定」を参照してください。

Windows ポータル サイトでの Microsoft Entra Enterprise アプリケーションと Office Online アプリケーションの統合配信

Intuneの [カスタマイズ] ウィンドウで、ポータル サイトで [Microsoft Entra Enterprise アプリケーションと Office Online アプリケーションの両方を非表示または表示する] を選択できます。 各エンド ユーザーは、選択した Microsoft サービスのアプリケーション カタログ全体を表示します。 既定では、各アプリ ソースは [非表示] に設定されます。 この機能は、最初にポータル サイト Web サイトで有効になり、Windows ポータル サイトのサポートが続く予定です。 Microsoft Intune管理センターで、[テナント管理>のカスタマイズ] を選択して、この構成設定を見つけます。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

macOS 登録エクスペリエンスのポータル サイトの改善

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーには、次の情報が表示されます。

• より洗練されたユーザー インターフェイス。
• 強化された登録チェックリスト。
• デバイスの登録方法に関するより明確な説明。
• 強化されたトラブルシューティング オプション。

ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

iOS/iPadOS および macOS ポータル サイトの [デバイス] ページの機能強化

iOS/iPadOS および Mac ユーザーのアプリ エクスペリエンスを向上させるために、[デバイスのポータル サイト] ページに変更を加えた。 よりモダンな外観を作成するだけでなく、ユーザーがデバイスの状態を確認しやすくするために、セクション ヘッダーが定義された 1 つの列の下にデバイスの詳細を再構成しました。 また、デバイスがコンプライアンスから外れたユーザーに対して、より明確なメッセージングとトラブルシューティングの手順を追加しました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。 デバイスを手動で同期するには、「 iOS デバイスを手動で同期する」を参照してください。

iOS/iPadOS ポータル サイト アプリのクラウド設定

iOS/iPadOS ポータル サイトの新しいクラウド設定を使用すると、ユーザーは認証をorganizationに適したクラウドにリダイレクトできます。 既定では、この設定は [自動] に構成されています。これにより、ユーザーのデバイスによって自動的に検出されたクラウドに認証が送信されます。 organizationの認証を、自動的に検出されるクラウド以外のクラウド (パブリックや政府機関など) にリダイレクトする必要がある場合は、[設定] アプリ >ポータル サイト>Cloud を選択することで、ユーザーは適切なクラウドを手動で選択できます。 ユーザーは、別のデバイスからサインインし、適切なクラウドがデバイスによって自動的に検出されない場合にのみ、[ クラウド ] 設定を [自動 ] から変更する必要があります。

Apple VPP トークンを複製する

同じ トークンの場所 を持つ Apple VPP トークンは複製としてマークされ、 重複 したトークンが削除されたときに再び同期できます。 重複としてマークされたトークンのライセンスは、引き続き割り当ておよび取り消すことができます。 ただし、トークンが重複としてマークされると、購入した新しいアプリや書籍のライセンスが反映されない場合があります。 テナントの Apple VPP トークンを見つけるには、管理センター Microsoft Intuneから [テナント管理>コネクタ]を選択し、Apple VPP トークンを>トークンします。 VPP トークンの詳細については、「Microsoft Intuneを使用して Apple Volume Purchase Program を通じて購入した iOS アプリと macOS アプリを管理する方法」を参照してください。

iOS/iPadOS 用のポータル サイトの情報画面へのUpdates

iOS/iPadOS 用のポータル サイトの情報画面が更新され、管理者がデバイスで表示および実行できる内容をより適切に説明できるようになりました。 これらの説明は企業所有のデバイスのみに関するものです。 更新されたのはテキストのみです。管理者がユーザー デバイスで表示または実行できる内容は実際には変更されていません。 更新された画面を表示するには、エンド ユーザー アプリの UI 更新プログラムIntune参照してください。

Android APP の条件付き起動のエンド ユーザー エクスペリエンスを更新しました

Android ポータル サイト の 2006 リリースには、2005 リリースからの更新プログラムに基づく変更があります。 2005 年に、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンド ユーザーに、警告、ブロック、またはワイプの理由と、問題を修復するための手順を説明する完全なページ メッセージが表示される更新プログラムをロールアウトしました。 2006 年には、アプリ保護ポリシーが割り当てられた Android アプリの初めてのユーザーがガイド付きフローを通じて、アプリのアクセスがブロックされる原因となる問題を修復します。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを使用できるようになりました。

• BlueJeans ビデオ会議
• Cisco Jabber for Intune
• Tableau Mobile for Intune
• Intuneの場合はゼロ

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

macOS デバイスの Wi-Fi プロファイルに EAP-TLS 認証用の複数のルート証明書を追加する

macOS デバイスでは、Wi-Fi プロファイルを作成し、[拡張認証プロトコル (EAP) 認証の種類 (デバイス>の構成>Create>macOS for platform >Wi-Fi for profile Wi-Fi type]\(プロファイル>用 Wi-Fi の種類\) を [エンタープライズ] に設定します。

EAP の種類を EAP-TLS、EAP-TTLS、または PEAP 認証に設定すると、複数のルート証明書を追加できます。 以前は、ルート証明書を 1 つだけ追加できました。

構成できる設定の詳細については、「Microsoft Intuneで macOS デバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• macOS

Windows 10 以降のデバイスで Wi-Fi プロファイルで PKCS 証明書を使用する

SCEP 証明書 (デバイス>の構成>Create Windows 10>以降のプロファイルの種類のエンタープライズ>EAP の種類>のプラットフォーム >Wi-Fi) を使用して、Windows Wi-Fi プロファイルを認証できます。 これで、Windows Wi-Fi プロファイルで PKCS 証明書を使用できるようになりました。 この機能を使用すると、ユーザーはテナント内の新規または既存の PKCS 証明書プロファイルを使用して Wi-Fi プロファイルを認証できます。

構成できる Wi-Fi 設定の詳細については、「IntuneでWindows 10以降のデバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• Windows 10 以降

macOS デバイスの有線ネットワーク デバイス構成プロファイル

有線ネットワーク (>>デバイス構成Create>macOS for platform >Wired Network for profile) を構成する新しい macOS デバイス構成プロファイルを使用できます。 この機能を使用して、802.1x プロファイルを作成して有線ネットワークを管理し、これらの有線ネットワークを macOS デバイスに展開します。

この機能の詳細については、「 macOS デバイス上の有線ネットワーク」を参照してください。

適用対象:

• macOS

フル マネージド Android Enterprise デバイスの既定の起動ツールとして Microsoft Launcher を使用する

Android Enterprise デバイス所有者デバイスでは、Microsoft Launcher をフル マネージド デバイスの既定の起動ツールとして設定できます (デバイス>構成>Create>Android Enterprise for platform >デバイス所有者> デバイスのプロファイル >エクスペリエンスのデバイス制限)。 その他すべての Microsoft Launcher 設定を構成するには、 アプリ構成ポリシーを使用します。

また、 専用デバイス の名前が デバイス エクスペリエンスに変更されるなど、その他の UI 更新プログラムもあります。

制限できるすべての設定を確認するには、「Android Enterprise デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise デバイス所有者フル マネージド デバイス (COBO)

自律シングル アプリ モード設定を使用して、iOS ポータル サイト アプリをサインイン/サインアウト アプリに構成する

iOS/iPadOS デバイスでは、自律シングル アプリ モード (ASAM) で実行するようにアプリを構成できます。 これで、ポータル サイト アプリは ASAM をサポートし、"サインイン/サインアウト" アプリとして構成できます。 このモードでは、他のアプリとデバイスの [ホーム画面] ボタンを使用するには、ポータル サイト アプリにサインインする必要があります。 アプリからサインアウトするとポータル サイト、デバイスは単一アプリ モードに戻り、アプリをロックポータル サイトします。

ASAM に含まれるポータル サイトを構成するには、[デバイス>の構成>Create>iOS/iPadOS for platform]\(プロファイル>のデバイス制限>\) [自律シングル アプリ モード] に移動します。

詳細については、「 自律シングル アプリ モード (ASAM) と シングル アプリ モード (Apple の Web サイトを開く)」を参照してください。

適用対象:

• iOS/iPadOS

macOS デバイスでコンテンツ キャッシュを構成する

macOS デバイスでは、コンテンツ キャッシュを構成する構成プロファイルを作成できます (デバイス>構成>Create>macOS for platform プロファイル>のデバイス機能)。 これらの設定を使用して、キャッシュの削除、共有キャッシュの許可、ディスクのキャッシュ制限の設定などを行います。

コンテンツ キャッシュの詳細については、「 ContentCaching (Apple の Web サイトを開く)」を参照してください。

構成できる設定を確認するには、Intuneの macOS デバイス機能の設定に移動します。

適用対象:

• macOS

新しいスキーマ設定を追加し、Android Enterprise で OEMConfig を使用して既存のスキーマ設定を検索する

Intuneでは、OEMConfig を使用して、Android Enterprise デバイス (デバイス>構成>Create>Android Enterprise for platform >OEMConfig for profile) の設定を管理できます。 構成デザイナーを使用すると、アプリ スキーマのプロパティが表示されます。 次に、 構成デザイナーで次のことができます。

• アプリ スキーマに新しい設定を追加します。
• アプリ スキーマの新しい設定と既存の設定のSearch。

Intuneの OEMConfig プロファイルの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise

共有 iPad デバイスでの共有 iPad 一時セッションのブロック

Intuneでは、共有 iPad デバイスの一時セッションをブロックする新しい [共有 iPad の一時セッションのブロック] 設定があります (デバイス>構成>Create>iOS/iPadOS for platform > プロファイルの種類>のデバイス制限Shared iPad)。 有効にすると、エンド ユーザーはゲスト アカウントを使用できません。 マネージド Apple ID とパスワードを使用してデバイスにサインインする必要があります。

詳細については、「 iOS および iPadOS デバイスの設定」を参照して、機能を許可または制限します。

適用対象:

• iOS/iPadOS 13.4 以降を実行している共有 iPad デバイス

デバイスの登録

Bring-your-own-devices can use VPN to deploy

新しい Autopilot プロファイルの [ドメイン接続チェックのスキップ] トグルを使用すると、独自のサード パーティ/パートナー Win32 VPN クライアントを使用して、企業ネットワークにアクセスすることなく、Microsoft Entraハイブリッド参加デバイスを展開できます。 新しいトグルを表示するには、管理センター>>のデバイスWindows>登録>展開プロファイルCreateプロファイル>>のOut-of-box experience (OOBE) Microsoft Intuneに移動します。

登録状態ページ プロファイルをデバイス グループに設定できます

以前は、登録状態ページ (ESP) プロファイルはユーザー グループのみを対象とできました。 これで、ターゲット デバイス グループに設定することもできます。 詳細については、「 登録状態ページを設定する」を参照してください。

デバイス登録の自動同期エラー

iOS/iPadOS および macOS デバイスに関する新しいエラーが報告されます。

• 電話番号に無効な文字が含まれているか、そのフィールドが空の場合は無効です。
• プロファイルの構成名が無効または空です。
• 無効/期限切れのカーソル値、またはカーソルが見つからない場合。
• 拒否または期限切れのトークン。
• 部署フィールドが空であるか、長さが長すぎます。
• プロファイルは Apple によって見つからず、新しいプロファイルを作成する必要があります。
• 削除された Apple Business Manager デバイスの数が概要ページに追加され、デバイスの状態が表示されます。

Shared iPads for Business

Intuneと Apple Business Manager を使用すると、複数の従業員がデバイスを共有できるように、共有 iPad を簡単かつ安全に設定できます。 Apple の Shared iPad は、ユーザー データを保持しながら、複数のユーザーにパーソナライズされたエクスペリエンスを提供します。 マネージド Apple ID を使用すると、ユーザーは、organizationの Shared iPad にサインインした後、アプリ、データ、設定にアクセスできます。 共有 iPad はフェデレーション ID で動作します。

この機能を確認するには、管理センター>の [デバイス>] [iOS iOS>登録>プログラム トークン>] Microsoft Intune [プロファイル>>Createプロファイル>iOS] の順に移動します。 [ 管理設定] ページで、[ ユーザー アフィニティなしで登録する ] を選択すると、[ 共有 iPad ] オプションが表示されます。

必要: iPadOS 13.4 以降。 このリリースでは、ユーザーがマネージド Apple ID を持たないデバイスにアクセスできるように、Shared iPad での一時的なセッションのサポートが追加されました。 サインアウトすると、デバイスはすべてのユーザー データを消去して、デバイスがすぐに使用できるようにして、デバイスのワイプを不要にします。

Apple の自動デバイス登録のユーザー インターフェイスを更新しました

Apple の用語を反映するように、ユーザー インターフェイスが更新され、Apple のデバイス登録プログラムが自動デバイス登録に置き換えられました。

デバイス管理

macOS で使用できるデバイス リモート ロック ピン

macOS デバイスのリモート ロック ピンの可用性が 7 日から 30 日に増加しました。

共同管理デバイスのプライマリ ユーザーを変更する

共同管理 Windows デバイスのデバイスのプライマリ ユーザーを変更できます。 見つけて変更する方法の詳細については、「Intune デバイスのプライマリ ユーザーを検索する」を参照してください。 この機能は、今後数週間で段階的にロールアウトされます。

プライマリ ユーザー Intune設定すると、Microsoft Entra所有者プロパティも設定されます

この新機能は、新しく登録されたMicrosoft Entraハイブリッド参加済みデバイスの所有者プロパティを、Intuneプライマリ ユーザーが設定されると同時に自動的に設定します。 プライマリ ユーザーの詳細については、「Intune デバイスのプライマリ ユーザーを検索する」を参照してください。

この動作は登録プロセスの変更であり、新しく登録されたデバイスにのみ適用されます。 既存のMicrosoft Entraハイブリッド参加済みデバイスの場合は、Microsoft Entra Owner プロパティを手動で更新する必要があります。 更新するには、 プライマリ ユーザーの変更機能 または スクリプトを使用できます。

Windows 10デバイスがハイブリッド参加Microsoft Entraになると、デバイスの最初のユーザーがIntuneのプライマリ ユーザーになります。 現在、ユーザーは対応するMicrosoft Entraデバイス オブジェクトに設定されていません。 この動作により、Microsoft Entra 管理センターの所有者プロパティと管理センターのプライマリ ユーザー プロパティMicrosoft Intune比較すると、不整合が発生します。 Microsoft Entra所有者プロパティは、BitLocker 回復キーへのアクセスをセキュリティで保護するために使用されます。 プロパティは、ハイブリッド参加済みデバイスMicrosoft Entra設定されません。 この制限により、BitLocker 回復のセルフサービスのセットアップがMicrosoft Entra IDできなくなります。 この今後の機能により、この制限が解決されます。

デバイスのセキュリティ

macOS デバイスの FileVault 2 暗号化中に回復キーをユーザーから非表示にする

macOS Endpoint Protection テンプレート内の FileVault カテゴリに新しい設定が追加されました:回復キーを非表示にします。 この設定では、FileVault 2 暗号化中にエンド ユーザーから個人キーが非表示になります。

暗号化された macOS デバイスの個人用回復キーを表示するには、デバイス ユーザーは次のいずれかの場所に移動し、macOS デバイスの 回復キーの取得 を選択します。

• iOS/iPadOS ポータル サイト アプリ
• Intune アプリ
• ポータル サイト Web サイト
• Android ポータル サイト アプリ

Android フル マネージドの Outlook での S/MIME 署名と暗号化証明書のサポート

Android Enterprise フル マネージドを実行するデバイスで、Outlook で S/MIME 署名と暗号化に証明書を使用できるようになりました。

この機能は、他の Android バージョンに対して先月追加されたサポート (Android 上の Outlook での S/MIME 署名と暗号化証明書のサポート) で拡張されます。 これらの証明書は、SCEP と PKCS インポートされた証明書プロファイルを使用してプロビジョニングできます。

このサポートの詳細については、Exchange ドキュメント の「Outlook for iOS および Android での秘密度のラベル付けと保護 」を参照してください。

準拠していないメールへのポータル サイト サポート Web サイトへのリンクを追加する

非準拠の電子メール通知を送信するための通知メッセージ テンプレートを構成する場合は、Web サイト リンクポータル サイト新しい設定を使用して、ポータル サイト Web サイトへのリンクを自動的に含めます。 [有効] に設定すると、このテンプレートに基づいてメールを受信する準拠していないデバイスを持つユーザーは、リンクを使用して Web サイトを開き、デバイスが準拠していない理由の詳細を確認できます。

Android のコンプライアンス ポリシーでMicrosoft Defender for Endpointを使用する

Intuneを使用して、Android デバイスを Microsoft for Endpoint にオンボードできるようになりました。 登録済みのデバイスをオンボードした後、Android のコンプライアンス ポリシーでは、Microsoft Defender for Endpointからの脅威レベルのシグナルを使用できます。 これらの信号は、Windows 10デバイスで以前に使用できた信号と同じです。

Android デバイスの Defender for Endpoint Web 保護を構成する

Android デバイスにMicrosoft Defender for Endpointを使用する場合は、フィッシング スキャン機能を無効にしたり、スキャンで VPN を使用できないようにMicrosoft Defender for Endpoint Web 保護を構成したりできます。

Intuneを使用して Android デバイスを登録する方法に応じて、次のオプションを使用できます。

• Android デバイス管理者 - カスタム OMA-URI 設定を使用して Web 保護機能を無効にするか、スキャン中に VPN の使用のみを無効にします。
• Android Enterprise 仕事用プロファイル - アプリ構成プロファイルと構成デザイナーを使用して、すべての Web 保護機能を無効にします。

ライセンス

管理者が管理センターにアクセスするためにIntuneライセンスMicrosoft Intune不要になった

管理者がIntune管理センターにアクセスし、グラフ API にクエリを実行するためのIntune ライセンス要件を削除するテナント全体のトグルを設定できるようになりました。 ライセンス要件を削除すると、元に戻すことはありません。

注:

Teamviewer Connector フローを含む一部のアクションでは、完了するには引き続きIntune ライセンスが必要です。

監視とトラブルシューティング

エンドポイント分析を使用してユーザーの生産性を向上させ、IT サポート コストを削減する

次の週には、この機能がロールアウトされます。エンドポイント分析は、ユーザー エクスペリエンスに関する分析情報を提供することで、ユーザーの生産性を向上させ、IT サポート コストを削減することを目的としています。 IT 部門は、この分析情報を使用して、プロアクティブなサポートによりエンド ユーザー エクスペリエンスを最適化したり、構成変更がもたらすユーザーへの影響を評価して、ユーザー エクスペリエンスの低下を検知したりすることができます。 詳細については、「 エンドポイント分析プレビュー」を参照してください。

スクリプト パッケージを使用してエンド ユーザー デバイスの問題を事前に修復する

エンド ユーザー デバイスでスクリプト パッケージを作成して実行して、organizationの上位のサポートの問題を事前に見つけて修正できます。 スクリプト パッケージをデプロイすると、サポート呼び出しを減らすことができます。 独自のスクリプト パッケージを作成するか、環境で記述して使用したスクリプト パッケージのいずれかをデプロイして、サポート チケットを減らします。 Intuneを使用すると、デプロイされたスクリプト パッケージの状態を確認し、検出と修復の結果を監視できます。 管理センター Microsoft Intune、レポート エンドポイント分析>プロアクティブ修復を選択します>。 詳細については、「プロアクティブな修復」を参照してください。

スクリプト

macOS デバイスでのシェル スクリプトの可用性

macOS デバイス用のシェル スクリプトが、Government Cloud および中国のお客様向けに使用できるようになりました。 シェル スクリプトの詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

2020 年 5 月

アプリ管理

ARM64 デバイス上の Windows 32 ビット (x86) アプリ

ARM64 デバイスで使用できるように展開された Windows 32 ビット (x86) アプリが、ポータル サイトに表示されるようになります。 Windows 32 ビット アプリの詳細については、「 Win32 アプリ管理」を参照してください。

Windows ポータル サイト アプリ アイコン

Windows ポータル サイト アプリのアイコンが更新されました。 ポータル サイトの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

iOS または iPadOS および macOS 用のポータル サイト アプリのアイコンの更新

より新しい外観を作成するために、ポータル サイトのアイコンが更新されました。これはデュアル スクリーン デバイスでサポートされ、Microsoft Fluent Design System と適合します。 更新されたアイコンを表示するには、エンド ユーザー アプリの UI 更新プログラムIntune移動します。

ポータル サイトでセルフサービス デバイスアクションをカスタマイズする

ポータル サイト アプリと Web サイトでエンド ユーザーに表示される使用可能なセルフサービス デバイス アクションをカスタマイズできます。 意図しないデバイス操作を防ぐために、[テナント管理>のカスタマイズ] を選択して、ポータル サイト アプリのこれらの設定を構成できます。 次の操作を実行できます。

• 会社の Windows デバイスの [削除 ] ボタンを非表示にします。
• 会社の Windows デバイスで [リセット] ボタンを非表示にする。
• 会社の iOS デバイスの [リセット ] ボタンを非表示にします。
• 会社の iOS デバイスの [削除 ] ボタンを非表示にします。 詳細については、ポータル サイトからのユーザー セルフサービス デバイス アクションに関するページを参照してください。

利用可能な VPP アプリを自動更新する

ボリューム購入プログラム (VPP) で利用可能なアプリとして発行されたアプリは、VPP トークンに対して自動アプリ Updatesが有効になっている場合に自動的に更新されます。 以前は、使用可能な VPP アプリは自動的に更新されませんでした。 代わりに、エンド ユーザーはポータル サイトに移動し、新しいバージョンが利用可能な場合はアプリを再インストールする必要がありました。 必要なアプリは自動更新を引き続きサポートします。

Android ポータル サイト ユーザー エクスペリエンス

Android ポータル サイト の 2005 リリースでは、アプリ保護ポリシーによって警告、ブロック、またはワイプが発行された Android デバイスのエンド ユーザーに、新しいユーザー エクスペリエンスが表示されます。 現在のダイアログ エクスペリエンスの代わりに、エンド ユーザーには、警告、ブロック、またはワイプの理由と問題を修復するための手順を説明する完全なページ メッセージが表示されます。 詳細については、Microsoft Intuneの Android デバイスと Android アプリ保護ポリシー設定のアプリ保護エクスペリエンスに関するページを参照してください。

macOS のポータル サイトでの複数のアカウントのサポート

macOS デバイスのポータル サイトによってユーザー アカウントがキャッシュされ、サインインが容易になりました。 ユーザーがアプリケーションを起動するたびに、ポータル サイトにサインインする必要がなくなりました。 また、複数のユーザー アカウントがキャッシュされている場合は、ユーザー名を入力する必要がないように、ポータル サイトにアカウント ピッカーが表示されます。

新しく利用可能な保護されたアプリ

次の保護されたアプリを使用できるようになりました。

• Board Papers
• Breezy for Intune
• Hearsay Relate for Intune
• ISEC7 Mobile Exchange Delegate for Intune
• Intuneの Lexmark
• Meetio Enterprise
• Microsoft Whiteboard
• 今すぐ®モバイル - Intune
• Qlik Sense Mobile
• ServiceNow® エージェント - Intune
• ServiceNow® オンボード - Intune
• Intune用 Smartcrypt
• Intuneのタクト
• ゼロ - 弁護士向けの電子メール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

ポータル サイトからIntune ドキュメントをSearchする

macOS アプリのポータル サイトからIntuneドキュメントを直接検索できるようになりました。 メニュー バーで [ヘルプ>] を選択しSearch検索のキーワードを入力して、質問に対する回答をすばやく見つけます。

Android 用のポータル サイトは、ユーザーが仕事用プロファイル登録後にアプリを取得するようにガイドします

ユーザーがアプリをより簡単に見つけてインストールできるように、ポータル サイトのアプリ内ガイダンスが改善されました。 仕事用プロファイルの管理に登録した後、バッジ付きバージョンの Google Play でおすすめのアプリを見つける方法を説明するメッセージがユーザーに表示されます。 Android のプロファイルでデバイスを登録する方法に関する記事の最後の手順は、新しいメッセージを示すように更新されています。 また、ユーザーには、左側のポータル サイト ドロアーで新しい [アプリの取得] リンクが表示されます。 これらの新しいエクスペリエンスと改善されたエクスペリエンスを実現するために、[ アプリ ] タブが削除されました。 更新された画面を表示するには、エンド ユーザー アプリの UI 更新プログラムIntune参照してください。

デバイス構成

Zebra Technologies デバイスの OEMConfig サポートの機能強化

Intuneは、Zebra OEMConfig によって提供されるすべての機能を完全にサポートします。 Android Enterprise と OEMConfig を使用して Zebra Technologies デバイスを管理しているお客様は、1 つのデバイスに複数の OEMConfig プロファイルを展開できます。 また、Zebra OEMConfig プロファイルの状態に関する豊富なレポートを表示することもできます。

詳細については、「Microsoft Intuneで Zebra デバイスに複数の OEMConfig プロファイルを展開する」を参照してください。

他の OEM の OEMConfig 動作に変更はありません。

適用対象:

• Android Enterprise
• OEMConfig をサポートする Zebra Technologies デバイス。 サポートの詳細については、Zebra にお問い合わせください。

macOS デバイスでシステム拡張機能を構成する

macOS デバイスでは、カーネル拡張機能プロファイルを作成して、カーネル レベルで設定を構成できます (デバイス>構成>macOS for platform >Kernel extensions for profile)。 Apple は最終的にカーネル拡張機能を非推奨にし、将来のリリースでシステム拡張機能に置き換えます。

システム拡張機能はユーザー空間で実行され、カーネルにアクセスできません。 目標は、セキュリティを強化し、カーネル レベルで攻撃を制限しながら、より多くのエンド ユーザー制御を提供することです。 カーネル拡張機能とシステム拡張機能の両方を使用すると、ユーザーはオペレーティング システムのネイティブ機能を拡張するアプリ拡張機能をインストールできます。

Intuneでは、カーネル拡張機能とシステム拡張機能の両方を構成できます (デバイス>構成>macOS for platform >System extensions for profile)。 カーネル拡張機能は 10.13.2 以降に適用されます。 システム拡張機能は 10.15 以降に適用されます。 macOS 10.15 から macOS 10.15.4 まで、カーネル拡張機能とシステム拡張機能を並行して実行できます。

macOS デバイスでのこれらの拡張機能の詳細については、「 macOS 拡張機能を追加する」を参照してください。

適用対象:

• macOS 10.15 以降

macOS デバイスでアプリとプロセスのプライバシー設定を構成する

macOS Catalina 10.15 のリリースにより、Apple は新しいセキュリティとプライバシーの強化を追加しました。 既定では、アプリケーションとプロセスは、ユーザーの同意なしに特定のデータにアクセスできません。 ユーザーが同意しない場合、アプリケーションとプロセスが機能しなくなる可能性があります。 Intuneでは、IT 管理者が macOS 10.14 以降を実行しているデバイスのエンド ユーザーに代わってデータ アクセスの同意を許可または禁止できるようにする設定のサポートが追加されています。 これらの設定により、アプリケーションとプロセスが引き続き正常に機能し、プロンプトの数が減ります。

管理できる設定の詳細については、「 macOS のプライバシー設定」を参照してください。

適用対象:

• macOS 10.14 以降

デバイスの登録

登録制限ではスコープ タグがサポートされます

登録制限にスコープ タグを割り当てることができるようになりました。 これを行うには、管理センター> Microsoft Intuneデバイス>登録制限>Create制限に移動します。 いずれかの種類の制限をCreateすると、[スコープ タグ] ページが表示されます。 詳細は、「登録制限を設定する」を参照してください。

HoloLens 2 デバイスの Autopilot サポート

Windows Autopilot でHoloLens 2デバイスがサポートされるようになりました。 HoloLens の Autopilot の使用方法の詳細については、「Windows Autopilot for HoloLens 2」を参照してください。

デバイス管理

iOS でリモート アクションを一括で同期する

一度に最大 100 台の iOS デバイスで同期リモート アクションを使用できるようになりました。 この機能を確認するには、管理センター>の [デバイス>] [すべてのデバイス>] [デバイスの一括操作Microsoft Intuneに移動します。

自動デバイス同期間隔を 12 時間まで下げる

Apple の自動デバイス登録では、Intuneと Apple Business Manager の間の自動デバイス同期間隔が 24 時間から 12 時間に短縮されました。 同期の詳細については、「 管理対象デバイスの同期」を参照してください。

デバイスのセキュリティ

Android デバイスでの DISA Purebred の派生資格情報のサポート

Android Enterprise フル マネージド デバイスで、派生資格情報プロバイダーとして DISA Purebred を使用できるようになりました。 サポートには、DISA Purebred の派生資格情報の取得が含まれます。 アプリ認証、Wi-Fi、VPN、S/MIME 署名、および/またはそれをサポートするアプリとの暗号化に派生資格情報を使用できます。

コンプライアンス違反のアクションとしてプッシュ通知を送信する

デバイスがコンプライアンス ポリシーの条件を満たしていないときにプッシュ通知をユーザーに送信する 非準拠のアクション を構成できるようになりました。 新しいアクションは [ エンド ユーザーにプッシュ通知を送信する] で、Android デバイスと iOS デバイスをサポートします。

ユーザーがデバイスでプッシュ通知を選択すると、ポータル サイトまたはIntune アプリが開き、非準拠である理由の詳細が表示されます。

エンドポイント セキュリティ コンテンツと新機能

Intune エンドポイント セキュリティに関するドキュメントが利用可能になりました。 Microsoft Intune管理センターのエンドポイント セキュリティ ノードでは、次のことができます。

• マネージド デバイスに重点を置いたセキュリティ ポリシーをCreateして展開する
• Microsoft Defender for Endpointとの統合を構成し、セキュリティ タスクを管理すると、Defender for Endpoint チームによって識別される危険なデバイスのリスクを修復するのに役立ちます
• セキュリティ 基準を構成する
• デバイス コンプライアンスと条件付きアクセス ポリシーを管理する
• Configuration Managerがクライアント接続用に構成されている場合は、IntuneとConfiguration Managerの両方から、すべてのデバイスのコンプライアンス状態を表示します。

コンテンツの可用性に加えて、今月のエンドポイント セキュリティの新機能は次のとおりです。

• エンドポイント セキュリティ ポリシーはプレビュー段階から外れ、一般提供されている運用環境で使用する準備が整いましたが、次の 2 つの例外があります。

  • 新しいパブリック プレビューでは、Windows 10 ファイアウォール ポリシーにMicrosoft Defenderファイアウォール規則プロファイルを使用できます。 このプロファイルの各インスタンスで、Microsoft Defenderファイアウォール プロファイルを補完するために最大 150 個のファイアウォール規則を構成できます。
  • アカウント保護のセキュリティ ポリシーはプレビューのままです。

• エンドポイント セキュリティ ポリシーの複製を作成できるようになりました。 複製は元のポリシーの設定構成を保持しますが、新しい名前を取得します。 その後、新しいポリシー インスタンスを編集して追加するまで、新しいポリシー インスタンスにはグループへの割り当てが含まれません。 次のポリシーを複製できます。

  • ウイルス対策
  • ディスク暗号化
  • ファイアウォール
  • エンドポイントの検出および応答
  • 攻撃面の縮小
  • アカウントの保護

• セキュリティ ベースラインの複製を作成できるようになりました。 複製は元のベースラインの設定構成を保持しますが、新しい名前を取得します。 新しいベースライン インスタンスを編集して追加するまで、新しいベースライン インスタンスにはグループへの割り当てが含まれません。

• エンドポイント セキュリティ ウイルス対策ポリシーの新しいレポートを使用できます。Windows 10異常なエンドポイントです。 このレポートは、エンドポイント セキュリティ ウイルス対策ポリシーを表示するときに選択できる新しいページです。 レポートには、MDM で管理されているWindows 10デバイスのウイルス対策の状態が表示されます。

Android 上の Outlook での S/MIME 署名と暗号化証明書のサポート

Android 上の Outlook で S/MIME 署名と暗号化に証明書を使用できるようになりました。 このサポートにより、SCEP、PKCS、PKCS インポートされた証明書プロファイルを使用して、これらの証明書をプロビジョニングできます。 次の Android プラットフォームがサポートされています。

• Android Enterprise Work Profile
• Android デバイス管理者

Android Enterprise フル マネージド デバイスのサポートは近日公開予定です。

このサポートの詳細については、Exchange ドキュメント の「Outlook for iOS および Android での秘密度のラベル付けと保護 」を参照してください。

エンドポイント検出と応答ポリシーを使用してデバイスを Defender for Endpoint にオンボードする

エンドポイントの検出と応答 (EDR) のエンドポイント セキュリティ ポリシーを使用して、Microsoft Defender for Endpointのデプロイ用にデバイスをオンボードおよび構成します。 EDR では、Intune (MDM) によって管理される Windows デバイスのポリシーと、Configuration Managerによって管理される Windows デバイス用の別のポリシーがサポートされています。

Configuration Managerデバイスのポリシーを使用するには、EDR ポリシーをサポートするようにConfiguration Managerを設定する必要があります。 セットアップには、次のものが含まれます。

• テナントアタッチ用に構成マネージャーを構成します。
• Configuration Managerのコンソール内更新プログラムをインストールして、EDR ポリシーのサポートを有効にします。 この更新プログラムは、 テナントアタッチが有効になっている階層にのみ適用されます。
• 階層からMicrosoft Intune管理センターにデバイス コレクションを同期します。

監視とトラブルシューティング

デバイス レポート UI の更新

[レポートの概要] ウィンドウに [概要] タブと [レポート] タブが表示されます。Microsoft Intune管理センターで、[レポート] を選択し、[レポート] タブを選択して使用可能なレポートの種類を確認します。 詳細については、「Intune レポート」を参照してください。

スクリプト

macOS スクリプトのサポート

macOS のスクリプト サポートが一般公開されました。 さらに、Apple の自動デバイス登録 (旧称デバイス登録プログラム) に登録されているユーザー割り当てスクリプトと macOS デバイスの両方のサポートが追加されました。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

アプリ管理

名前の変更Microsoft Office 365 ProPlus

Microsoft Office 365 ProPlusの名前が Microsoft 365 Apps for enterprise に変更されています。 詳細については、「Office 365 ProPlusの名前の変更」を参照してください。 このドキュメントでは、一般的にMicrosoft 365 Appsと見なします。 Microsoft Intune管理センターで、[アプリ] [Windows>の追加] を選択してアプリ> スイートを見つけることができます。 アプリの追加については、「アプリをMicrosoft Intuneに追加する」を参照してください。

Android Enterprise デバイスの Outlook の S/MIME 設定を管理する

アプリ構成ポリシーを使用して、Android Enterprise を実行するデバイスで Outlook の S/MIME 設定を管理できます。 また、デバイス ユーザーが Outlook 設定で S/MIME を有効または無効にするかどうかを選択することもできます。 Android 用のアプリ構成ポリシーを使用するには、Microsoft Intune管理センターの [アプリ][アプリ>構成ポリシー] [管理対象デバイスの>追加]> の順に移動します。 Outlook の設定の構成の詳細については、「 Microsoft Outlook の構成設定」を参照してください。

マネージド Google Play アプリのプレリリース テスト

アプリのプレリリース テストに Google Play のクローズド テスト トラックを使用している組織は、これらのトラックをIntuneで管理できます。 テストを実行するために、Google Play の運用前トラックに公開されているアプリをパイロット グループに選択的に割り当てることができます。 Intuneでは、アプリに公開されている実稼働前ビルド テスト トラックがあるかどうかを確認し、そのトラックをユーザーまたはデバイス グループMicrosoft Entra割り当てることができます。 この機能は、現在サポートされているすべての Android Enterprise シナリオ (仕事用プロファイル、フル マネージド、専用) で使用できます。 Microsoft Intune管理センターでは、[アプリ] [Android>の追加] を選択して、マネージド Google Play アプリ>を追加できます。 詳細については、「 Managed Google Play Closed Testing Tracks の操作」を参照してください。

Microsoft Teams が Microsoft 365 for macOS に含まれるようになりました

Microsoft Intuneで Microsoft 365 for macOS が割り当てられているユーザーは、既存の Microsoft 365 アプリ (Word、Excel、PowerPoint、Outlook、OneNote) に加えて Microsoft Teams を受け取るようになりました。 Intuneは、他の Office for macOS アプリがインストールされている既存の Mac デバイスを認識します。 その後、次回デバイスが Intune でチェックインしたときに、Microsoft Teams のインストールが試行されます。 Microsoft Intune管理センターで、[アプリ>] [macOS追加] を選択して、Office 365 Suite formacOS> を見つけることができます。 詳細については、「Microsoft Intuneを使用して macOS デバイスにOffice 365を割り当てる」を参照してください。

Android アプリ構成ポリシーに更新する

Android アプリ構成ポリシーが更新され、管理者はアプリ構成プロファイルを作成する前にデバイス登録の種類を選択できます。 この機能は、登録の種類 (仕事用プロファイルまたはデバイス所有者) に基づく証明書プロファイルのアカウントに追加されています。

この更新プログラムでは、次の操作を行います。

1. 新しいプロファイルが作成され、デバイス登録の種類として [仕事用プロファイル] と [デバイス所有者プロファイル] が選択されている場合、証明書プロファイルをアプリ構成ポリシーに関連付けることはできません。
2. 新しいプロファイルが作成され、仕事用プロファイルのみが選択されている場合は、[デバイス構成] の下に作成された仕事用プロファイル証明書ポリシーを使用できます。
3. 新しいプロファイルが作成され、デバイス所有者のみが選択されている場合は、[デバイス構成] で作成されたデバイス所有者証明書ポリシーを利用できます。

重要

この機能のリリース前に作成された既存のポリシー (2020 年 4 月のリリース - 2004) で、ポリシーに関連付けられている証明書プロファイルがない場合、既定ではデバイス登録の種類として [仕事用プロファイル] と [デバイス所有者プロファイル] が設定されます。 また、証明書プロファイルが関連付けられているこの機能のリリース前に作成された既存のポリシーは、既定で [仕事用プロファイルのみ] になります。

また、両方の電子メール構成の種類で証明書プロファイルを使用するなど、仕事用プロファイルとデバイス所有者登録の種類の両方で機能する Gmail と 9 つの電子メール構成プロファイルを追加しています。 [仕事用プロファイルのデバイス構成] で作成した Gmail または 9 つのポリシーは、引き続きデバイスに適用されます。 アプリ構成ポリシーに移動する必要はありません。

Microsoft Intune管理センターでは、[アプリ] [アプリ構成ポリシー] を>選択してアプリ構成ポリシーを見つけることができます。 アプリ構成ポリシーの詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

デバイスの所有権の種類が変更されたときのプッシュ通知

デバイスの所有権の種類がプライバシーの提供として個人用から会社に変更されたときに、Android ユーザーと iOS ポータル サイト ユーザーの両方に送信するようにプッシュ通知を構成できます。 このプッシュ通知は既定でオフに設定されています。 この設定は、[テナント>管理のカスタマイズ] を選択することで、Microsoft Intune管理センターで確認できます。 デバイスの所有権がエンド ユーザーに与える影響の詳細については、「 デバイスの所有権を変更する」を参照してください。

[カスタマイズ] ウィンドウのグループ ターゲットのサポート

[ カスタマイズ ] ウィンドウの設定をユーザー グループに設定できます。 Intuneでこれらの設定を見つけるには、Microsoft Intune管理センターに移動し、[テナント管理>のカスタマイズ] を選択します。 カスタマイズの詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリをカスタマイズする方法」を参照してください。

デバイス構成

iOS、iPadOS、および macOS でサポートされている複数のオンデマンド VPN 規則 "各接続試行を評価する"

Intuneユーザー エクスペリエンスでは、同じ VPN プロファイル内の複数のオンデマンド VPN 規則を許可します。[各接続試行の評価] アクション (デバイス>の構成>Create>iOS/iPadOS または macOS for platform >VPN for profile >自動 VPN>オンデマンド)。

リスト内の最初のルールのみを受け入れた。 この動作は修正され、Intuneリスト内のすべてのルールが評価されます。 各ルールは、オンデマンド ルールの一覧に表示される順序で評価されます。

注:

これらのオンデマンド VPN 規則を使用する既存の VPN プロファイルがある場合は、次回 VPN プロファイルを変更するときにこの修正プログラムが適用されます。 たとえば、接続の名前を変更するなど、軽微な変更を行い、プロファイルを保存します。

認証に SCEP 証明書を使用している場合、この変更により、この VPN プロファイルの証明書が再発行されます。

適用対象:

• iOS/iPadOS
• macOS

VPN プロファイルの詳細については、「Create VPN プロファイル」を参照してください。

iOS/iPadOS デバイスの SSO および SSO アプリ拡張機能プロファイルのその他のオプション

iOS/iPadOS デバイスでは、次のことができます。

• SSO プロファイル (デバイス>構成>Create>iOS/iPadOS for platform Device >features for profile >Single sign-on) で、Kerberos プリンシパル名を SSO プロファイルのセキュリティ アカウント マネージャー (SAM) アカウント名に設定します。
• SSO アプリ拡張機能プロファイル (Devices>Configuration>Create>iOS/iPadOS for platform Device >features for profile >Single sign-on app extension)で、新しい SSO アプリ拡張機能の種類を使用して、クリック数を減らして iOS/iPadOS Microsoft Entra拡張機能を構成します。 共有デバイス モードのデバイスに対してMicrosoft Entra拡張機能を有効にし、拡張機能固有のデータを拡張機能に送信できます。

適用対象:

• iOS/iPadOS 13.0 以降

iOS/iPadOS デバイスでシングル サインオンを使用する方法の詳細については、「 シングル サインオン アプリ拡張機能の概要 」と「 シングル サインオン設定の一覧」を参照してください。

macOS デバイスの新しいシェル スクリプト設定

macOS デバイス用のシェル スクリプトを構成するときに、次の新しい設定を構成できるようになりました。

• デバイスでスクリプト通知を非表示にする
• スクリプトの頻度
• スクリプトが失敗した場合に再試行する最大回数

詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

デバイスの登録

既定のプロファイルが存在する場合に Apple 自動デバイス登録トークンを削除する

以前は、既定のプロファイルを削除できませんでした。つまり、関連付けられている自動デバイス登録トークンを削除できませんでした。 これで、次の場合にトークンを削除できます。

• トークンにデバイスが割り当てられていない
• 既定のプロファイルが存在します。これを行うには、既定のプロファイルを削除してから、関連付けられているトークンを削除します。 詳細については、「Intuneから ADE トークンを削除する」を参照してください。

Apple 自動デバイス登録と Apple Configurator 2 デバイス、プロファイル、トークンのスケールアップサポート

分散された IT 部門や組織を支援するために、Intuneでは、トークンあたり最大 1,000 個の登録プロファイル、Intune アカウントあたり 2000 個の自動デバイス登録 (旧称 DEP) トークン、およびトークンあたり 75,000 個のデバイスがサポートされるようになりました。 登録プロファイルごとのデバイスの制限は、トークンあたりのデバイスの最大数を下回っていません。

Intuneでは、最大 1,000 個の Apple Configurator 2 プロファイルがサポートされるようになりました。

詳細については、「 制限」を参照してください。

すべてのデバイス ページ列エントリの変更

[ すべてのデバイス ] ページで、[ 管理対象 ] 列のエントリが変更されました。

• MDM の代わりにIntuneが表示されるようになりました
• MDM/ConfigMgr エージェントの代わりに共同管理が表示されるようになりました

エクスポート値は変更されません。

デバイス管理

トラステッド プラットフォーム マネージャー (TPM) のバージョン情報が [デバイス ハードウェア] ページに表示されるようになりました

デバイスのハードウェア ページに TPM のバージョン番号が表示されるようになりました (管理センター> [デバイス] Microsoft Intune[デバイス>] [システム エンクロージャ] の下の [ハードウェア>>] の外観を選択します)。

テナントアタッチのMicrosoft Intune: デバイスの同期とデバイスのアクション

Microsoft Intuneは、Configuration ManagerとIntuneを 1 つの本体にまとめています。 Configuration Manager バージョン 2002 以降では、Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターでそれらのデバイスに対してアクションを実行できます。 詳細については、「Microsoft Intune テナントアタッチ: デバイス同期とデバイス アクション」を参照してください。

監視とトラブルシューティング

macOS デバイスに割り当てられたスクリプトのトラブルシューティングを改善するためにログを収集する

macOS デバイスに割り当てられたスクリプトのトラブルシューティングを改善するためにログを収集できるようになりました。 ログは、最大 60 MB (圧縮) または 25 個のファイルのうち、いずれか最初に発生するログを収集できます。 詳細については、「 ログ 収集を使用した macOS シェル スクリプト ポリシーのトラブルシューティング」を参照してください。

セキュリティ

証明書を使用して Android Enterprise フル マネージド デバイスをプロビジョニングするための派生資格情報

Intuneでは、Android デバイスの認証方法として派生資格情報の使用がサポートされるようになりました。 派生資格情報は、デバイスに証明書を展開するための国立標準技術研究所 (NIST) 800-157 標準の実装です。 Android のサポートは、iOS/iPadOS を実行するデバイスのサポートを拡大します。

派生資格情報は、スマート カードなど、個人 ID 検証 (PIV) または Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスの派生資格情報を取得するには、ユーザーはMicrosoft Intune アプリから開始し、使用するプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通なのは、コンピューター上のスマート カードを使用して派生資格情報プロバイダーに対する認証を行う必要があります。 その後、そのプロバイダーは、ユーザーのスマート カードから派生したデバイスに証明書を発行します。

VPN と WiFi のデバイス構成プロファイルの認証方法として、派生資格情報を使用できます。 また、アプリ認証や、それをサポートするアプリケーションの S/MIME 署名と暗号化にも使用できます。

Intuneでは、Android で次の派生資格情報プロバイダーがサポートされるようになりました。

• Entrust
• Intercede

3 番目のプロバイダー DISA Purebred は、今後のリリースで Android で利用できるようになります。

Microsoft Edge セキュリティ ベースラインが一般公開されました

Microsoft Edge セキュリティ ベースラインの新しいバージョンが利用可能になり、一般公開 (GA) としてリリースされます。 以前の Microsoft Edge ベースラインはプレビュー段階でした。 新しいベースライン バージョンは 2020 年 4 月 (Microsoft Edge バージョン 80 以降) です。

この新しいベースラインのリリースでは、以前のベースライン バージョンに基づいてプロファイルを作成できなくなりますが、これらのバージョンで作成したプロファイルを引き続き使用できます。 また、最新のベースライン バージョンを使用するように既存のプロファイルを更新することもできます。

2020 年 3 月

アプリ管理

Android 用ポータル サイトでのサインイン エクスペリエンスの向上

エクスペリエンスをユーザーにとってより新しく、シンプルでクリーンなものにするために、Android 用ポータル サイト アプリのいくつかのサインイン画面のレイアウトを更新しました。 機能強化については、 アプリ UI の新機能に関するページを参照してください。

Win32 アプリコンテンツをダウンロードするときに配信最適化エージェントを構成する

割り当てに基づいて、Win32 アプリコンテンツをバックグラウンドモードまたはフォアグラウンド モードでダウンロードするように配信最適化エージェントを構成できます。 既存の Win32 アプリの場合、コンテンツは引き続きバックグラウンド モードでダウンロードされます。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>]の [Win32 アプリ>のプロパティ] を選択します。 [割り当て] の横にある [編集] を選択します。 [必須] セクションの [モード] で [含める] を選択して、割り当てを編集します。 [アプリの設定] セクションに新しい 設定が表示 されます。 配信の最適化の詳細については、「 Win32 アプリ管理 - 配信の最適化」を参照してください。

iOS 用のポータル サイトでは、横向きモードがサポートされています

ユーザーは、自分のデバイスを登録し、アプリを見つけ、選択した画面の向きを使用して IT サポートを受けることができるようになりました。 ユーザーが縦モードで画面をロックしない限り、アプリは縦または横モードに合わせて画面を自動的に検出して調整します。

macOS デバイスのスクリプトサポート (パブリック プレビュー)

macOS デバイスにスクリプトを追加してデプロイできます。 このサポートにより、macOS デバイスでネイティブ MDM 機能を使用して可能な範囲を超えて macOS デバイスを構成する機能が拡張されます。 詳細については、「Intuneで macOS デバイスでシェル スクリプトを使用する」を参照してください。

macOS と iOS ポータル サイトの更新プログラム

macOS と iOS ポータル サイトの [プロファイル] ウィンドウが、サインアウト ボタンを含むように更新されました。 また、macOS ポータル サイトの [プロファイル] ウィンドウにも UI が改善されました。 ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

iOS デバイスで Web クリップを Microsoft Edge に再ターゲットする

保護されたブラウザーで開く必要がある iOS デバイスに新しくデプロイされた Web クリップ (ピン留めされた Web アプリ) は、Intune Managed Browserではなく Microsoft Edge で開きます。 既存の Web クリップを再ターゲットして、マネージド ブラウザーではなく Microsoft Edge で開かれていることを確認する必要があります。 詳細については、「Microsoft Intuneで Microsoft Edge を使用して Web アクセスを管理する」および「WebアプリをMicrosoft Intuneに追加する」を参照してください。

Microsoft Edge for Android でIntune診断ツールを使用する

Android 用 Microsoft Edge は、Intune診断ツールと統合されました。 iOS 用 Microsoft Edge でのエクスペリエンスと同様に、デバイス上の Microsoft Edge の URL バー (アドレス ボックス) に「about:intunehelp」と入力すると、Intune診断ツールが起動します。 このツールでは、詳細なログが提供されます。 ユーザーは、これらのログを収集して IT 部門に送信したり、特定のアプリの MAM ログを表示したりできます。

ブランド化とカスタマイズをIntuneするUpdates

"ブランド化とカスタマイズ" という名前のIntune ウィンドウが、次のような機能強化で更新されました。

• ウィンドウの名前を [カスタマイズ] に変更します。
• 設定のorganizationと設計の改善。
• 設定のテキストとヒントの改善。

Intuneでこれらの設定を見つけるには、Microsoft Intune管理センターに移動し、[テナント管理>のカスタマイズ] を選択します。 既存のカスタマイズの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

ユーザーの個人の暗号化された回復キー

新しいIntune機能を使用すると、ユーザーは Android ポータル サイト アプリケーションまたは Android Intune アプリケーションを使用して、Mac デバイス用に暗号化された個人用 FileVault 回復キーを取得できます。 ポータル サイト アプリケーションと Intune アプリケーションの両方にリンクがあり、Chrome ブラウザーを Web ポータル サイトに開き、ユーザーは Mac デバイスにアクセスするために必要な FileVault 回復キーを確認できます。 暗号化の詳細については、「Intuneでデバイス暗号化を使用する」を参照してください。

最適化された専用デバイス登録

Android Enterprise 専用デバイスの登録を最適化し、2019 年 11 月 22 日より前に登録された専用デバイスに、Wi-Fi に関連付けられている SCEP 証明書を簡単に適用できるようにしています。 新しい登録の場合、Intune アプリは引き続きインストールされますが、エンド ユーザーは登録中に [Intune エージェントを有効にする] ステップを実行する必要がなくなりました。 割り当てはバックグラウンドで自動的に行われ、Wi-Fi に関連付けられている SCEP 証明書は、エンド ユーザーの操作なしでデプロイおよび設定できます。

これらの変更は、Intune サービス バックエンドがデプロイされる 3 月を通じて段階的にロールアウトされます。 すべてのテナントでは、3 月末までにこの新しい動作が行われます。 詳細については、「 Android Enterprise 専用デバイスでの SCEP 証明書のサポート」を参照してください。

デバイス構成

Windows デバイスで管理テンプレートを作成するときの新しいユーザー エクスペリエンス

お客様からのフィードバックと、新しい Azure 全画面表示エクスペリエンスへの移行に基づいて、フォルダー ビューを使用して管理用テンプレート プロファイル エクスペリエンスを再構築しました。 設定や既存のプロファイルに変更を加えたわけではありません。 そのため、既存のプロファイルは同じままになり、新しいビューで使用できるようになります。 [すべての設定] を選択し、検索を使用して、 すべての設定オプションを移動できます。 ツリー ビューは、コンピューターとユーザーの構成によって分割されます。 Windows、Office、Microsoft Edge の設定は、関連するフォルダーに表示されます。

適用対象:

• Windows 10 以降

IKEv2 VPN 接続を使用した VPN プロファイルは、iOS/iPadOS デバイスで常にオンにすることができます

iOS/iPadOS デバイスでは、IKEv2 接続 (デバイス>構成>Create>iOS/iPadOS for platform VPN for profile > type) を使用する VPN プロファイルを作成できます。 これで、IKEv2 で always-on を構成できるようになりました。 構成すると、IKEv2 VPN プロファイルは自動的に接続され、VPN に接続された状態を維持 (またはすばやく再接続) します。 ネットワーク間を移動したり、デバイスを再起動したりしても、接続したままです。

iOS/iPadOS では、常時接続 VPN は IKEv2 プロファイルに制限されます。

構成できる IKEv2 設定を確認するには、Microsoft Intuneの [iOS デバイスに VPN 設定を追加する] に移動します。

適用対象:

• iOS/iPadOS

Android Enterprise デバイスの OEMConfig デバイス構成プロファイルでバンドルとバンドル配列を削除する

Android Enterprise デバイスでは、OEMConfig プロファイル (デバイス>構成>Create>Android Enterprise for platform >OEMConfig for profile type) を作成して更新します。 ユーザーは、Intuneの構成デザイナーを使用してバンドルとバンドル配列を削除できるようになりました。

OEMConfig プロファイルの詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise

iOS/iPadOS Microsoft Entra SSO アプリ拡張機能を構成する

Microsoft Entra チームは、iOS/iPadOS 13.0 以降のユーザーが 1 回のサインオンで Microsoft アプリや Web サイトにアクセスできるように、リダイレクト シングル サインオン (SSO) アプリ拡張機能を作成しました。 以前に Microsoft Authenticator アプリで認証を仲介していたすべてのアプリは、引き続き新しい SSO 拡張機能で SSO を取得します。 Microsoft Entra SSO アプリ拡張機能のリリースでは、リダイレクト SSO アプリ拡張機能の種類 (デバイス>の構成>Create>iOS/iPadOS for platform > プロファイルタイプ>のデバイス機能シングル サインオン アプリ拡張機能) を使用して SSO 拡張機能を構成できます。

適用対象:

• iOS 13.0 以降
• iPadOS 13.0 以降

iOS SSO アプリ拡張機能の詳細については、「 シングル サインオン アプリ拡張機能」を参照してください。

エンタープライズ アプリ信頼設定の変更設定が iOS/iPadOS デバイス制限プロファイルから削除される

iOS/iPadOS デバイスでは、デバイス制限プロファイル (>デバイスの構成>Create>プラットフォーム>の iOS/iPadOS プロファイルの種類のデバイス制限) を作成します。 Enterprise アプリ信頼設定の変更設定は Apple によって削除され、Intuneから削除されます。 現在プロファイルでこの設定を使用している場合、影響はなく、既存のプロファイルから削除されます。 この設定は、Intuneのレポートからも削除されます。

適用対象:

• iOS/iPadOS

制限できる設定を確認するには、 iOS と iPadOS デバイスの設定に移動して、機能を許可または制限します。

トラブルシューティング: 保留中の MAM ポリシー通知が情報アイコンに変更されました

[トラブルシューティング] ブレードの保留中の MAM ポリシーの通知アイコンが、情報アイコンに変更されました。

コンプライアンス ポリシーを構成するときの UI の更新

Microsoft Intune管理センター (デバイス>コンプライアンス ポリシーCreate ポリシー) でコンプライアンス ポリシー>>を作成するための UI が更新されました。 以前に使用したのと同じ設定と詳細を含む新しいユーザー エクスペリエンスが追加されました。 新しいエクスペリエンスは、ウィザードのようなプロセスに従ってコンプライアンス ポリシーを作成します。 これには、ポリシーの割り当てを追加できるページと、ポリシーを作成する前に構成を確認できる [確認 + Create] ページが含まれています。

非準拠デバイスを廃止する

非準拠デバイスを廃止するために、任意のポリシーに追加できる 非準拠デバイスに対する新しいアクションが追加されました。 新しいアクションである非準拠デバイスを廃止すると、デバイスからすべての会社データが削除され、Intuneによってデバイスが管理されなくなります。 このアクションは、構成された値 (日数) に達すると実行され、その時点でデバイスが廃止される資格が得られます。 最小値は 30 日です。 明示的な IT 管理者の承認は、[ 非準拠 デバイスの廃止] セクションを使用してデバイスを廃止するために必要になります。このセクションでは、管理者はすべての対象デバイスを廃止できます。

iOS Enterprise Wi-Fi プロファイルでの WPA と WPA2 のサポート

iOS 用のエンタープライズ Wi-Fi プロファイル で 、[セキュリティの種類 ] フィールドがサポートされるようになりました。 [ セキュリティの種類] では、 WPA Enterprise または WPA/WPA2 Enterprise のいずれかを選択し、 EAP の種類の選択を指定できます。 (デバイス>構成>Createし、[iOS/iPadOS for Platform]、[プロファイルの Wi-Fi] の順に選択します)。

新しいエンタープライズ オプションは、iOS 用の Basic Wi-Fi プロファイルで使用できるオプションのようなものです。

証明書、電子メール、VPN、Wi-Fi、VPN プロファイルの新しいユーザー エクスペリエンス

次のプロファイルの種類を作成および変更するために、Intune管理センター (デバイス>構成>Create) のユーザー エクスペリエンスが更新されました。 新しいエクスペリエンスでは、以前と同じ設定が表示されますが、水平方向のスクロールを必要としないウィザードのようなエクスペリエンスが使用されます。 新しいエクスペリエンスを使用して既存の構成を変更する必要はありません。

• 派生資格情報
• 電子メール
• PKCS 証明書
• PKCS のインポートされた証明書
• SCEP 証明書
• 信頼された証明書
• VPN
• Wi-Fi

Android および Android Enterprise デバイスでデバイス制限プロファイルを作成するときのユーザー インターフェイスエクスペリエンスの向上

Android または Android Enterprise デバイス用のプロファイルを作成すると、Intune管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイル (デバイス>構成>Create>Android デバイス管理者または Android Enterprise for platform) に影響します。

• デバイスの制限: Android デバイス管理者
• デバイスの制限: Android Enterprise デバイス所有者
• デバイスの制限: Android Enterprise 仕事用プロファイル

構成できるデバイス制限の詳細については、「 Android デバイス管理者 と Android Enterprise」を参照してください。

iOS/iPadOS および macOS デバイスで構成プロファイルを作成するときのユーザー インターフェイスエクスペリエンスの向上

iOS または macOS デバイス用のプロファイルを作成すると、Intune管理センターのエクスペリエンスが更新されます。 この変更は、次のデバイス構成プロファイル (デバイス>構成>Create>iOS/iPadOS または macOS for platform) に影響します。

• カスタム: iOS/iPadOS、macOS
• デバイス機能: iOS/iPadOS、macOS
• デバイスの制限: iOS/iPadOS、macOS
• エンドポイント保護: macOS
• 拡張機能: macOS
• 基本設定ファイル: macOS

macOS デバイスのデバイス機能のユーザー構成設定から非表示にする

macOS デバイスでデバイス機能構成プロファイルを作成すると、新しい [ユーザー構成から非表示にする] 設定 (デバイス>構成>Create>macOS for platform プロファイル>のデバイス機能>ログイン項目) が表示されます。

この機能は、macOS デバイスの [ ユーザー & グループ ] ログイン項目アプリの一覧でアプリの非表示チェック マークを設定します。 既存のプロファイルでは、この設定が未構成としてリスト内に表示されます。 この設定を構成するために、管理者は既存のプロファイルを更新できます。

[非表示] に設定すると、アプリの [非表示] チェック ボックスがオンになり、ユーザーはそれを変更できません。 また、ユーザーが自分のデバイスにサインインした後、ユーザーからアプリが非表示になります。

構成できる設定の詳細については、「 macOS デバイス機能の設定」を参照してください。

この機能は、以下に適用されます:

• macOS

デバイスの登録

Android および iOS 用のポータル サイトで登録を使用できるかどうかを構成する

Android および iOS デバイスのポータル サイトのデバイス登録をプロンプトで使用できるか、プロンプトなしで使用できるか、ユーザーが使用できないようにするかを構成できます。 Intuneでこれらの設定を見つけるには、Microsoft Intune管理センターに移動し、[テナント管理>] [カスタマイズ]> [デバイス登録の編集] の順>に選択します。

デバイス登録設定をサポートするには、エンド ユーザーに次のバージョンのポータル サイトが必要です。

• iOS 上のポータル サイト: バージョン 4.4 以降
• Android 上のポータル サイト: バージョン 5.0.4715.0 以降

既存のポータル サイトカスタマイズの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス管理

Android デバイスの新しい Android レポートの概要ページ

Android デバイスの概要ページのMicrosoft Intune管理センターにレポートが追加されました。このページには、各デバイス管理ソリューションに登録されている Android デバイスの数が表示されます。 このグラフ (Azure コンソール内の同じグラフなど) には、仕事用プロファイル、フル マネージド、専用、デバイス管理者が登録したデバイス数が表示されます。 レポートを表示するには、[デバイス] [Androidの概要] の順に>選択します>。

Android デバイス管理者管理から仕事用プロファイル管理にユーザーをガイドする

Android デバイス管理者プラットフォームの新しいコンプライアンス設定をリリースします。 この設定を使用すると、デバイス管理者が管理している場合に、デバイスを非準拠にすることができます。

これらの非準拠デバイスの [ デバイス設定の更新 ] ページに、[ 新しいデバイス管理セットアップに移動 する] メッセージが表示されます。 [解決] ボタンをタップすると、次のガイドが表示されます。

1. デバイス管理者の管理からの登録解除
2. 仕事用プロファイル管理への登録
3. コンプライアンスの問題の解決

Google では、Android Enterprise を使用して、最新の、より充実した、より安全なデバイス管理に移行するために、新しい Android リリースでのデバイス管理者のサポートを減らしています。 Intuneでは、Android 10 以降を実行するデバイス管理者が管理する Android デバイスに対してのみ、Q2 CY2020 を通じて完全なサポートを提供できます。 この時刻以降に Android 10 以降を実行しているデバイス管理者が管理するデバイス (Samsung を除く) は、完全には管理できません。 特に、影響を受けるデバイスは新しいパスワード要件を受け取りません。

この設定の詳細については、「 Android デバイスをデバイス管理者から仕事用プロファイル管理に移動する」を参照してください。

Microsoft Intune管理センターの新しい URL

昨年の Ignite でのMicrosoft Intuneの発表に合わせて、Microsoft Intune管理センター (旧称 Microsoft 365 デバイス管理) の URL を にhttps://intune.microsoft.com変更しました。

Windows デバイスのプライマリ ユーザーを変更する

Windows ハイブリッドデバイスとMicrosoft Entra参加済みデバイスのプライマリ ユーザーを変更できます。 これを行うには、[Intune>][デバイス>][すべてのデバイス>] の順に移動し、デバイス>の [プロパティ>] [プライマリ ユーザー] を選択します。 詳細については、「 デバイスのプライマリ ユーザーを変更する」を参照してください。

このタスクには、新しい RBAC アクセス許可 (マネージド デバイス/プライマリ ユーザーの設定) も作成されています。 このアクセス許可は、ヘルプデスク オペレーター、学校管理者、エンドポイント セキュリティ マネージャーなどの組み込みロールに追加されました。

この機能は、プレビュー段階で世界中のお客様にロールアウトされています。 この機能は、今後数週間以内に表示されます。

テナントアタッチのMicrosoft Intune: デバイスの同期とデバイスのアクション

Microsoft Intuneは、Configuration ManagerとIntuneを 1 つの本体にまとめています。 Configuration Managerテクニカル プレビュー バージョン 2002.2 以降では、Configuration Manager デバイスをクラウド サービスにアップロードし、管理センターでアクションを実行できます。 詳細については、「Configuration Manager Technical Preview バージョン 2002.2 の機能」を参照してください。

この更新プログラムをインストールする前に、Configuration Managerテクニカル プレビューに関する記事を確認してください。 この記事では、テクニカル プレビューの使用に関する一般的な要件と制限事項、バージョン間の更新方法、フィードバックの提供方法について説明します。

一括リモート アクション

再起動、名前変更、Autopilot リセット、ワイプ、削除の各リモート アクションに対して一括コマンドを発行できるようになりました。 新しい一括アクションを表示するには、管理センター>の [デバイス>] [すべてのデバイス>] [一括操作] Microsoft Intune移動します。

すべてのデバイスに改善された検索、並べ替え、フィルターが一覧表示されます

[すべてのデバイス] の一覧が改善され、パフォーマンス、検索、並べ替え、フィルター処理が向上しました。 詳細については、 こちらのサポート ヒントを参照してください。

監視とトラブルシューティング

Data Warehouseは MAC アドレスを提供するようになりました

Intune Data Warehouseは、MAC アドレスをエンティティのdevice新しいプロパティ (EthernetMacAddress) として提供し、管理者がユーザーとホストの mac アドレスを関連付けることができます。 このプロパティは、特定のユーザーに到達し、ネットワーク上で発生するインシデントのトラブルシューティングに役立ちます。 管理者は、 Power BI レポート でこのプロパティを使用して、より豊富なレポートを作成することもできます。 詳細については、Intune Data Warehouse デバイス エンティティに関するページを参照してください。

デバイス インベントリのプロパティをData Warehouseする

Intune Data Warehouseを使用して、その他のデバイス インベントリ プロパティを使用できます。 次のプロパティが 、デバイス のベータ コレクションを介して公開されるようになりました。

• ethernetMacAddress - このデバイスの一意のネットワーク識別子。
• model - デバイス モデル。
• office365Version - デバイスにインストールされている Microsoft 365 のバージョン。
• windowsOsEdition - オペレーティング システムのバージョン。

devicePropertyHistory ベータ コレクションを介して、次のプロパティが公開されるようになりました。

• physicalMemoryInBytes - 物理メモリ (バイト単位)。
• totalStorageSpaceInBytes - ストレージ容量の合計 (バイト単位)。

詳細については、「Microsoft Intune Data Warehouse API」を参照してください。

より多くのサービスをサポートするためのワークフロー更新のヘルプとサポート

Microsoft Intune管理センターの [ヘルプとサポート] ページが更新されました。ここで、使用する管理の種類を選択します。 この変更により、次の管理の種類から選択できます。

• Configuration Manager (Desktop Analyticsを含む)
• Intune
• 共同管理

セキュリティ

エンドポイント セキュリティの一部として、セキュリティ管理者に重点を置いたポリシーのプレビューを使用する

パブリック プレビューとして、Microsoft Intune 管理センターのエンドポイント セキュリティ ノードの下にいくつかの新しいポリシー グループが追加されました。 セキュリティ管理者は、これらの新しいポリシーを使用して、デバイス セキュリティの特定の側面に焦点を当て、より大きなデバイス構成ポリシー本体のオーバーヘッドなしで、関連する設定の個別のグループを管理できます。

Microsoft Defenderウイルス対策の新しいウイルス対策ポリシー (以下を参照) を除き、これらの新しいプレビュー ポリシーとプロファイルの各設定は、現在デバイス構成プロファイルを使用して既に構成した設定と同じです。

プレビュー段階にある新しいポリシーの種類と、使用可能なプロファイルの種類を次に示します。

• ウイルス対策 (プレビュー):

  • macOS:

    • ウイルス対策 - macOS のウイルス対策ポリシー設定を管理し、mac 用のMicrosoft Defender for Endpointを管理します。

  • Windows 10以降:

    • Microsoft Defenderウイルス対策 - クラウド保護、ウイルス対策の除外、修復、スキャン オプションなどのウイルス対策ポリシー設定を管理します。

      Microsoft Defenderウイルス対策のウイルス対策プロファイルは、デバイス制限プロファイルの一部として見つかった設定の新しいインスタンスを導入する例外です。 これらの新しいウイルス対策設定:

      • デバイスの制限と同じ設定ですが、デバイスの制限として構成されている場合は使用できない構成の 3 番目のオプションがサポートされています。
      • Endpoint Protection の共同管理ワークロード スライダーが [Intune] に設定されている場合、Configuration Managerで共同管理されるデバイスに適用します。

    デバイス制限プロファイルを使用して構成する代わりに、新しいウイルス>対策Microsoft Defenderウイルス対策プロファイルを使用することを計画します。

  • Windows セキュリティエクスペリエンス - エンド ユーザーがMicrosoft Defender セキュリティ センターで表示できるWindows セキュリティ設定と、受信する通知を管理します。 これらの設定は、デバイス構成 Endpoint Protection プロファイルとして使用できる設定から変更されません。

• ディスク暗号化 (プレビュー):

  • macOS:
    • FileVault
  • Windows 10以降:
    • BitLocker

• ファイアウォール (プレビュー):

  • macOS:
    • macOS ファイアウォール
  • Windows 10以降:
    • Microsoft Defender ファイアウォール

• エンドポイントの検出と応答 (プレビュー):

  • Windows 10 以降: -Windows 10 Intune

• 攻撃面の縮小 (プレビュー):

  • Windows 10以降:
    • アプリとブラウザーの分離
    • Web 保護
    • アプリケーション制御
    • 攻撃面の減少ルール
    • デバイス コントロール
    • エクスプロイト保護

• アカウント保護 (プレビュー):

  • Windows 10以降:
    • アカウントの保護

2020 年 2 月

アプリ管理

macOS 用Microsoft Defender for Endpoint アプリ

Intuneは、macOS 用のMicrosoft Defender for Endpoint アプリをマネージド Mac デバイスに簡単にデプロイする方法を提供します。 詳細については、「Microsoft Intune を使用して macOS デバイスにMicrosoft Defender for Endpointを追加する」と「Microsoft Defender for Endpointfor Mac」を参照してください。

macOS ポータル サイトユーザー エクスペリエンスの向上

macOS デバイス登録エクスペリエンスと Mac 用のポータル サイト アプリが改善されました。 次の機能強化が表示されます。

• 登録中の Microsoft AutoUpdate エクスペリエンスが向上し、ユーザーが最新バージョンのポータル サイトを確実に使用できるようになります。
• 登録中のコンプライアンスチェックの強化された手順。
• コピーされたインシデント ID のサポートにより、ユーザーはデバイスから会社のサポート チームにエラーを迅速に送信できます。

Mac の登録と ポータル サイト アプリの詳細については、「ポータル サイト アプリを使用して macOS デバイスを登録する」を参照してください。

Better Mobile のアプリ保護 ポリシーで iOS と iPadOS がサポートされるようになりました

2019 年 10 月に、Intune アプリ保護ポリシーに、Microsoft の脅威防御パートナーのデータを使用する機能が追加されました。 この更新プログラムでは、アプリ保護ポリシーを使用して、iOS と iPadOS の Better Mobile を使用して、デバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプできます。 詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

Windows 10 デバイス上の Microsoft Edge バージョン 77 以降

Intuneでは、Windows 10 デバイスでの Microsoft Edge バージョン 77 以降のアンインストールがサポートされるようになりました。 詳細については、「Windows 10をMicrosoft Intuneに Microsoft Edge を追加する」を参照してください。

ポータル サイトの Android 仕事用プロファイルの登録から削除される画面

ユーザー エクスペリエンスを効率化するために、ポータル サイトの Android 仕事用プロファイルの登録フローから [次の手順] 画面が削除されました。 更新後の Android 仕事用プロファイルの登録フローを確認するには、Android 仕事用プロファイルへの登録に関する記事を参照してください。

ポータル サイトアプリのパフォーマンスの向上

ポータル サイト アプリは、Surface Pro X など、ARM64 プロセッサを使用するデバイスのパフォーマンス向上をサポートするように更新されました。以前は、ポータル サイトエミュレートされた ARM32 モードで動作しました。 バージョン 10.4.7080.0 以降では、ポータル サイト アプリは ARM64 用にネイティブ にコンパイルされています。 ポータル サイト アプリの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Microsoft の新しい Office アプリ

Microsoft の新しい Office アプリが一般公開され、ダウンロードして使用できるようになりました。 Office アプリは統合されたエクスペリエンスであり、ユーザーは 1 つのアプリ内でWord、Excel、PowerPoint で作業できます。 アプリ保護ポリシーを使用してアプリをターゲットにして、アクセスされるデータが確実に保護されるようにすることができます。

詳細については、「Office モバイル プレビュー アプリでアプリ保護ポリシー Intune有効にする方法」を参照してください。

デバイス構成

iOS デバイスで Cisco AnyConnect VPN を使用してネットワーク アクセス制御 (NAC) を有効にする

iOS デバイスでは、VPN プロファイルを作成し、Cisco AnyConnect (Devices>Configuration>Create>iOS for platform >VPN for profile type >Cisco AnyConnect for connection type) など、さまざまな接続タイプを使用できます。

Cisco AnyConnect を使用してネットワーク アクセス制御 (NAC) を有効にすることができます。 この機能を使用するには:

1. Cisco Identity Services Engine Administrator Guide で、「Microsoft Intuneを MDM サーバとして設定する」の手順を使用して、Azure で Cisco Identity Services Engine (ISE) を構成します。
2. Intune デバイス構成プロファイルで、[ネットワーク Access Control (NAC) を有効にする] 設定を選択します。

使用可能なすべての VPN 設定を表示するには、[ iOS デバイスで VPN 設定を構成する] に移動します。

デバイスの登録

Apple MDM プッシュ証明書ページのシリアル番号

Apple MDM プッシュ証明書ページにシリアル番号が表示されるようになりました。 証明書を作成した Apple ID へのアクセスが失われた場合は、Apple MDM プッシュ証明書へのアクセスを回復するためにシリアル番号が必要です。 シリアル番号を表示するには、 デバイス>iOS iOS>登録>Apple MDM プッシュ証明書に移動します。

デバイス管理

登録済みの iOS/iPadOS デバイスに OS 更新プログラムをプッシュするための新しい更新スケジュール オプション

iOS/iPadOS デバイスのオペレーティング システムの更新プログラムをスケジュールする場合は、次のオプションから選択できます。 これらのオプションは、Apple Business Manager または Apple School Manager の登録の種類を使用したデバイスに適用されます。

• 次回のチェックで更新する
• スケジュールされた時間内の更新
• スケジュールされた時間外の更新

後者の 2 つのオプションでは、複数の時間枠を作成できます。

新しいオプションを表示するには、iOS/iPadOS>>Create プロファイルのIntune管理センター>デバイス>iOS Update ポリシーに移動します。

登録済みデバイスにプッシュする iOS/iPadOS 更新プログラムを選択する

特定の iOS/iPadOS 更新プログラム (最新の更新プログラムを除く) を選択して、Apple Business Manager または Apple School Manager を使用して登録されているデバイスにプッシュできます。 このようなデバイスには、ソフトウェア更新プログラムの表示を一定の日数延期するようにデバイス構成ポリシーが設定されている必要があります。 この機能を確認するには、Intune管理センター>のデバイス> iOS Update ポリシー (iOS>/iPadOS>Create プロファイル) に移動します。

zip 形式の CSV 形式で [すべてのデバイス] リストからエクスポートする

[デバイス>] [すべてのデバイス] ページからのエクスポートが圧縮された CSV 形式になりました。

Windows 7 は延長サポートを終了します

Windows 7 は、2020 年 1 月 14 日に延長サポートの終了に達しました。 Intune Windows 7 を同時に実行するデバイスのサポートが非推奨になりました。 お使いの PC の保護に役立つテクニカル アシスタンスと自動更新は使用できなくなりました。 Windows 10にアップグレードする必要があります。 詳細については、 変更の計画に関するブログ投稿を参照してください。

デバイスのセキュリティ

Intuneレポートエクスペリエンスの向上

Intuneにより、レポート エクスペリエンスが向上しました。 新しいレポートの種類、より適切なレポートorganization、より焦点を絞ったビュー、改善されたレポート機能、より一貫性のあるタイムリーなデータがあります。 レポート エクスペリエンスはパブリック プレビューから GA (一般提供) に移行されます。 また、GA リリースでは、ローカライズのサポート、バグ修正、設計の改善、Microsoft Intune管理センターのタイル上のデバイス コンプライアンス データの集計が提供されます。

新しいレポートの種類は、次の情報に焦点を当てています。

• 操作 - 正常性に重点を置いた新しいレコードを提供します。
• [組織] - 全体的な状態の概要を示します。
• 履歴 - 一定期間におけるパターンと傾向を提示します。
• スペシャリスト - 生データを使用し、独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに焦点を当てます。 詳細については、「ブログ - レポート フレームワークのMicrosoft Intune」と「レポートのIntune」を参照してください。

UI のセキュリティ ベースラインの場所を統合しました

複数の UI の場所からセキュリティ ベースラインを削除することで、Microsoft Intune管理センターでセキュリティ ベースラインを見つけるためのパスを統合しました。 セキュリティ ベースラインを見つけるには、 エンドポイント セキュリティ>セキュリティ ベースラインというパスを使用します。

インポートされた PKCS 証明書のサポートの拡張

インポートされた PKCS 証明書を使用して Android Enterprise フル マネージド デバイスをサポートするためのサポートが拡張されました。 一般に、PFX 証明書のインポートは S/MIME 暗号化シナリオで使用されます。このシナリオでは、電子メールの暗号化解除を行うことができるように、すべてのデバイスでユーザーの暗号化証明書が必要です。

次のプラットフォームでは、PFX 証明書のインポートがサポートされています。

• Android - デバイス管理者
• Android Enterprise - フル マネージド
• Android Enterprise - 仕事用プロファイル
• iOS
• Mac
• Windows 10

デバイスのエンドポイント セキュリティ構成を表示する

特定のデバイスに適用されるエンドポイント セキュリティ構成を表示するために、Microsoft Intune管理センターのオプションの名前が更新されました。 このオプションは、適用可能なセキュリティ ベースラインと 、セキュリティ ベースラインの外部で作成されたその他のポリシーが表示されるため、エンドポイント セキュリティ構成に名前が変更されます。 以前は、このオプションの名前は セキュリティ ベースラインでした。

役割ベースのアクセス制御

Intune ロールのユーザー インターフェイスの変更

Microsoft Intune管理センター>のテナント管理>ロールのユーザー インターフェイスが、より使いやすく直感的な設計に改善されました。 このエクスペリエンスでは、現在使用しているのと同じ設定と詳細が提供されますが、新しいエクスペリエンスではウィザードのようなプロセスが採用されています。

2020 年 1 月

アプリ管理

macOS 用の Microsoft Edge バージョン 77 展開チャネルのIntuneサポート

Microsoft Intuneでは、macOS 用 Microsoft Edge アプリの安定したデプロイ チャネルがサポートされるようになりました。 安定チャネルは、エンタープライズ環境で Microsoft Edge を広範に展開するための推奨チャネルです。 ベータ チャネルからの機能強化を組み込んだ各リリースで、6 週間ごとに更新されます。 安定チャネルとベータチャネルに加えて、Intuneは開発チャネルをサポートします。 パブリック プレビューでは、MacOS 用の Microsoft Edge バージョン 77 以降の安定した開発チャネルが提供されます。 ブラウザーの自動更新は既定で [オン] になっています。 詳細については、「Microsoft Intuneを使用して macOS デバイス用の Microsoft Edge を追加する」を参照してください。

Intune Managed Browserの廃止

Intune Managed Browserは廃止されます。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。

アプリをIntuneに追加するときのユーザー エクスペリエンスの変更

Intuneを介してアプリを に追加する場合、新しいユーザー エクスペリエンスがあります。 このエクスペリエンスでは、以前に使用したのと同じ設定と詳細が提供されますが、新しいエクスペリエンスは、Intuneにアプリを追加する前にウィザードのようなプロセスに従います。 この新しいエクスペリエンスでは、アプリを追加する前にレビュー ページも提供されます。 Microsoft Intune管理センターで、[アプリ>] [すべてのアプリ>] [追加] の順に選択します。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

Win32 アプリの再起動を要求する

インストールが正常に完了した後、Win32 アプリを再起動する必要があります。 また、再起動が必要になるまでの時間 (猶予期間) を選択することもできます。

Intuneでアプリを構成するときのユーザー エクスペリエンスの変更

Intuneでアプリ構成ポリシーを作成するときの新しいユーザー エクスペリエンスがあります。 このエクスペリエンスでは、以前に使用したのと同じ設定と詳細が提供されますが、新しいエクスペリエンスは、Intuneにポリシーを追加する前にウィザードのようなプロセスに従います。 Microsoft Intune管理センターで、[アプリ>] [アプリ構成ポリシー] [追加] の順に選択します>。 詳細については、「Microsoft Intuneのアプリ構成ポリシー」を参照してください。

Windows 10 展開チャネルに対する Microsoft Edge のIntuneサポート

Microsoft Intuneでは、Windows 10 アプリの Microsoft Edge (バージョン 77 以降) の安定したデプロイ チャネルがサポートされるようになりました。 安定チャネルは、エンタープライズ環境でWindows 10の Microsoft Edge を広く展開するための推奨チャネルです。 このチャネルは 6 週間ごとに更新され、各リリースには ベータ チャネルからの機能強化が組み込まれています。 安定チャネルとベータチャネルに加えて、Intuneは開発チャネルをサポートします。 詳細については、「Microsoft Edge for Windows 10 - アプリ設定の構成」を参照してください。

Microsoft Outlook for iOS の S/MIME サポート

Intuneでは、iOS デバイス上の Outlook for iOS で使用できる S/MIME 署名証明書と暗号化証明書の配信がサポートされています。 詳細については、「 Outlook for iOS および Android での秘密度のラベル付けと保護」を参照してください。

Microsoft Connected Cache サーバーを使用して Win32 アプリコンテンツをキャッシュする

Configuration Manager配布ポイントに Microsoft Connected Cache サーバーをインストールして、Win32 アプリのコンテンツIntuneキャッシュできます。 詳細については、「Configuration Managerの Microsoft Connected Cache - Intune Win32 アプリのサポート」を参照してください。

デバイス構成

Exchange ActiveSyncオンプレミス コネクタ UI を構成するときのユーザー インターフェイス エクスペリエンスの向上

Exchange ActiveSync オンプレミス コネクタを構成するためのエクスペリエンスが更新されました。 更新されたエクスペリエンスでは、1 つのウィンドウを使用して、オンプレミス コネクタの詳細を構成、編集、および要約します。

Android Enterprise 仕事用プロファイルの Wi-Fi プロファイルに自動プロキシ設定を追加する

Android Enterprise Work Profile デバイスでは、Wi-Fi プロファイルを作成できます。 Wi-Fi Enterprise 型を選択すると、Wi-Fi ネットワークで使用される拡張認証プロトコル (EAP) の種類を入力することもできます。

[エンタープライズの種類] を選択すると、プロキシ サーバーの URL など proxy.contoso.com、自動プロキシ設定を入力することもできます。

構成できる現在の Wi-Fi 設定を確認するには、Microsoft Intuneで Android Enterprise および Android キオスクを実行しているデバイスの Wi-Fi 設定の追加に関するページを参照してください。

適用対象:

• Android Enterprise の作業プロフィール

デバイスの登録

デバイスの製造元別に Android 登録をブロックする

デバイスの製造元に基づいて、デバイスの登録をブロックできます。 この機能は、Android デバイス管理者と Android Enterprise 仕事用プロファイル デバイスに適用されます。 登録の制限を確認するには、Microsoft Intune管理センター>の[デバイス>の登録の制限] に移動します。

iOS/iPadOS Create登録の種類プロファイル UI の機能強化

iOS/iPadOS ユーザー登録の場合、Create登録の種類プロファイルの [設定] ページが合理化され、同じ機能を維持しながら登録の種類の選択プロセスが改善されました。 新しい UI を表示するには、管理センター>の [デバイス>] [iOS iOS>登録>の種類>Createプロファイル>の設定] ページMicrosoft Intune移動します。 詳細については、「Intuneでのユーザー登録プロファイルのCreate」を参照してください。

デバイス管理

デバイスの詳細に関する新しい情報

次の情報は、デバイスの [概要 ] ページにあります。

• メモリ容量 (デバイス上の物理メモリの量)
• ストレージ容量 (デバイス上の物理ストレージの量)
• CPU アーキテクチャ

iOS バイパス アクティブ化ロックリモート アクションの名前が [アクティブ化ロックを無効にする] に変更されました

リモート アクション の [アクティブ化ロックのバイパス] の名前が [ アクティブ化ロックの無効化] に変更されました。 詳細については、「Intuneを使用して iOS ライセンス認証ロックを無効にする」を参照してください。

Autopilot デバイスWindows 10機能更新プログラムの展開のサポート

Intuneでは、Windows 10機能更新プログラムの展開を使用した Autopilot 登録済みデバイスのターゲット設定がサポートされるようになりました。

Windows 10機能更新ポリシーは、Windows Autopilot out of box experience (OOBE) 中に適用できません。 これらは、デバイスのプロビジョニングが完了した後の最初のWindows Update スキャンでのみ適用されます(通常は 1 日)。

監視とトラブルシューティング

Windows Autopilot 展開レポート (プレビュー)

新しいレポートでは、Windows Autopilot を介して展開された各デバイスの詳細が表示されます。 詳細については、「 Autopilot デプロイ レポート」を参照してください。

役割ベースのアクセス制御

新しいIntune組み込みロールエンドポイント セキュリティ マネージャー

新しいIntune組み込みロール (エンドポイント セキュリティ マネージャー) を使用できます。 この新しいロールを使用すると、管理者はIntuneのエンドポイント マネージャー ノードに完全にアクセスでき、他の領域へのすぐにアクセスできます。 ロールは、Microsoft Entra IDからの "セキュリティ管理者" ロールの拡張です。 現在、ロールとしてグローバル管理者を使用している場合は、変更は必要ありません。 ロールを使用していて、エンドポイント セキュリティ マネージャーが提供する細分性が必要な場合は、ロールが使用可能なときにそのロールを割り当てます。 組み込みロールの詳細については、「 ロールベースのアクセス制御」を参照してください。

Windows 10管理テンプレート (ADMX) プロファイルでスコープ タグがサポートされるようになりました

スコープ タグを管理テンプレート プロファイル (ADMX) に割り当てることができるようになりました。 これを行うには、プロパティスコープ タグの一覧>>で>管理用テンプレート プロファイルを選択Intune Devices>構成>に移動します。 スコープ タグの詳細については、「スコープ タグ を他のオブジェクトに割り当てる」を参照してください。

2019 年 12 月

アプリ管理

暗号化された macOS デバイスから個人用回復キーを取得する

エンド ユーザーは、iOS ポータル サイト アプリを使用して個人用回復キー (FileVault キー) を取得できます。 個人用回復キーを持つデバイスは、Intune に登録され、Intune により FileVault を使用して暗号化されている必要があります。 iOS ポータル サイト アプリを使用して、エンド ユーザーは [回復キーの取得] を選択することで、暗号化された macOS デバイスで個人用回復キーを取得できます。 また、暗号化された macOS デバイス>の [回復キーの取得] を選択>して、Intuneから回復キーを取得することもできます。 FileVault の詳細については、「 macOS 用 FileVault 暗号化」を参照してください。

iOS および iPadOS ユーザー ライセンス VPP アプリ

ユーザーが登録した iOS デバイスと iPadOS デバイスの場合、エンド ユーザーには、新しく作成されたデバイス ライセンスの VPP アプリケーションが使用可能な状態でデプロイされなくなります。 ただし、エンド ユーザーは引き続き、ポータル サイト内のすべてのユーザー ライセンス VPP アプリを表示します。 VPP アプリの詳細については、「Microsoft Intuneを使用して Apple Volume Purchase Program を使用して購入した iOS アプリと macOS アプリを管理する方法」を参照してください。

通知 - Windows 10 1703 (RS2) はサポート対象外になります

2018 年 10 月 9 日から、Windows 10 1703 (RS2) は、Home、Pro、Pro for Workstations エディションの Microsoft プラットフォーム サポートから移行しました。 Windows 10 Enterpriseおよび Education エディションの場合、Windows 10 1703 (RS2) は、2019 年 10 月 8 日にプラットフォームサポートから移行しました。 2019 年 12 月 26 日から、Windows ポータル サイト アプリケーションの最小バージョンを Windows 10 1709 (RS3) に更新します。 1709 より前のバージョンを実行しているコンピューターは、Microsoft Store からアプリケーションの更新されたバージョンを受け取らなくなります。 以前に、メッセージ センターを介して古いバージョンのWindows 10を管理しているお客様にこの変更を伝えた。 詳細については、「 Windows ライフサイクルのファクト シート」を参照してください。

アプリ管理

管理された閲覧シナリオ用の Microsoft Edge への移行

Intune Managed Browserの廃止に近づくにつれて、アプリ保護ポリシーを変更して、ユーザーを Edge に移行するために必要な手順を簡略化しました。 アプリ保護ポリシー設定のオプションを更新しました 。他のアプリとの Web コンテンツ転送 を次のいずれかに制限します。

• 任意のアプリ
• Intune Managed Browser
• Microsoft Edge
• アンマネージド ブラウザー

Microsoft Edge を選択すると、エンド ユーザーには、管理された閲覧シナリオに Microsoft Edge が必要であることを通知する条件付きアクセス メッセージングが表示されます。 まだ署名していない場合は、Microsoft Entra アカウントを使用して Microsoft Edge にダウンロードしてサインインするように求められます。 この動作は、アプリ構成設定 com.microsoft.intune.useEdge が True に設定された MAM 対応アプリを対象とすることと同じです。 [ポリシーの管理されたブラウザー] 設定を使用した既存のアプリ保護ポリシーは、Intune Managed Browser選択され、動作に変更はありません。 そのため、 useEdge アプリの構成設定を True に設定した場合、Microsoft Edge を使用するメッセージングがユーザーに表示されます。 管理された閲覧シナリオを使用するすべてのお客様に、他のアプリ との Web コンテンツ転送を制限 するを使用してアプリ保護ポリシーを更新し、リンクを起動しているアプリに関係なく、Microsoft Edge に移行するための適切なガイダンスがユーザーに表示されるようにすることをお勧めします。

organization アカウントのアプリ通知コンテンツを構成する

Android および iOS デバイスのアプリ保護ポリシー (APP) をIntuneすると、組織アカウントのアプリ通知コンテンツを制御できます。 オプション (許可、組織データのブロック、またはブロック) を選択して、選択したアプリに対する組織アカウントの通知の表示方法を指定できます。 この機能にはアプリケーションからのサポートが必要であり、すべてのアプリが有効なアプリケーションでは使用できない場合があります。 Outlook for iOS バージョン 4.15.0 (以降) と Outlook for Android 4.83.0 (またはそれ以降) では、この設定がサポートされます。 この設定は本体で使用できますが、機能は 2019 年 12 月 16 日以降に有効になります。 APP の詳細については、「 アプリ保護ポリシーとは」を参照してください。

Microsoft アプリ アイコンの更新

アプリ保護 ポリシーとアプリ構成ポリシーのアプリ ターゲット ウィンドウで Microsoft アプリに使用されるアイコンが更新されました。

Android で承認されたキーボードの使用を要求する

アプリ保護ポリシーの一部として、[ 承認済みキーボード ] 設定を指定して、管理対象の Android アプリで使用できる Android キーボードを管理できます。 ユーザーがマネージド アプリを開き、そのアプリに承認済みのキーボードをまだ使用していない場合は、デバイスに既にインストールされている承認済みのキーボードのいずれかに切り替えるよう求められます。 必要に応じて、Google Play ストアから承認済みのキーボードをダウンロードするためのリンクが表示され、インストールと設定が可能です。 ユーザーが編集できるのは、マネージド アプリのテキスト フィールドで、アクティブなキーボードが承認されたキーボードの 1 つでない場合のみです。

デバイス構成

Windows 10 デバイスの管理用テンプレートへのUpdates

Microsoft Intuneの ADMX テンプレートを使用して、Microsoft Edge、Office、および Windows の設定を制御および管理できます。 Intuneの管理用テンプレートでは、次のポリシー設定が更新されました。

• Microsoft Edge バージョン 78 および 79 のサポートが追加されました。
• 2019 年 11 月 11 日の ADMX ファイルが、管理用テンプレート ファイル (ADMX/ADML) と Office カスタマイズ ツール (Microsoft 365 Apps for enterprise、Office 2019、および Office 2016 に含まれています。

Intuneの ADMX テンプレートの詳細については、「Windows 10 テンプレートを使用してMicrosoft Intuneでグループ ポリシー設定を構成する」を参照してください。

適用対象:

• Windows 10 以降

iOS、iPadOS、macOS デバイス上のアプリと Web サイトのシングル サインオン エクスペリエンスを更新しました

Intuneでは、iOS、iPadOS、macOS デバイスのシングル サインオン (SSO) 設定が追加されました。 organizationまたは ID プロバイダーによって記述されたリダイレクト SSO アプリ拡張機能を構成できるようになりました。 これらの設定を使用して、OAuth や SAML2 などの最新の認証方法を使用するアプリや Web サイトのシームレスなシングル サインオン エクスペリエンスを構成します。

これらの新しい設定は、SSO アプリ拡張機能と Apple の組み込みの Kerberos 拡張機能 (デバイス>の構成>Create>iOS/iPadOS または macOS のプラットフォームの種類のデバイス機能のプロファイルの種類>) の前の設定で展開されます。

構成できる SSO アプリ拡張機能設定の全範囲を確認するには、 iOS での SSO と macOS での SSO に関するページを参照してください。

適用対象:

• iOS/iPadOS
• macOS

iOS デバイスと iPadOS デバイスの 2 つのデバイス制限設定を更新し、動作を修正しました

iOS デバイスの場合は、デバイス制限プロファイルを作成して、無線 PKI の更新を許可し、USB 制限モードをブロックできます (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>の種類のデバイス制限)。 このリリースより前は、次の設定の UI 設定と説明が正しくありませんでした。現在は修正されています。 このリリース以降、設定の動作は次のようになります。

[Over-the-air PKI の更新をブロックする]: [ブロック] を選択 すると、デバイスがコンピューターに接続されていない限り、ユーザーはソフトウェア更新プログラムを受信できなくなります。 未構成 (既定値): デバイスがコンピューターに接続されずにソフトウェア更新プログラムを受信できるようにします。

• 以前は、この設定を [許可] として構成できます。これにより、ユーザーはデバイスをコンピューターに接続せずにソフトウェア更新プログラムを受け取ります。 デバイスのロック中に USB アクセサリを許可する: 許可すると 、USB アクセサリは、1 時間以上ロックされているデバイスとデータを交換できます。 [未構成 ] (既定値) はデバイスの USB 制限モードを更新せず、1 時間以上ロックされている場合、USB アクセサリはデバイスからのデータ転送をブロックされます。
• 以前は、この設定を [ ブロック ] として構成し、監視対象デバイスで USB 制限モードを無効にしました。

構成できる設定の詳細については、「iOS および iPadOS デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

この機能は、以下に適用されます。

• OS/iPadOS

Android Enterprise デバイス所有者デバイスのマネージド キーストアで証明書資格情報を構成できないようにユーザーをブロックする

Android Enterprise デバイス所有者デバイスでは、ユーザーがマネージド キーストアで証明書の資格情報を構成できないようにする新しい設定を構成できます (デバイス>構成>Create>Android Enterprise for platform > デバイス所有者のみ プロファイルの種類>ユーザーとアカウントのデバイス制限>)。

新しいMicrosoft Configuration Manager共同管理ライセンス

ソフトウェア アシュアランスをお持ちのお客様Configuration Manager、共同管理のために別のIntune ライセンスを購入することなく、Windows 10 PC の共同管理をIntuneできます。 お客様は、Windows 10を共同管理するために、エンド ユーザーに個々のIntune/EMS ライセンスを割り当てる必要がなくなりました。

• Configuration Managerによって管理され、共同管理に登録されたデバイスには、スタンドアロン MDM で管理された PC Intuneとほぼ同じ権限があります。 ただし、リセット後、Autopilot を使用して再プロビジョニングすることはできません。
• その他の手段を使用してIntuneに登録されたデバイスWindows 10には、完全なIntune ライセンスが必要です。
• 他のプラットフォーム上のデバイスでは、引き続き完全なIntune ライセンスが必要です。

詳細については、「 ライセンス条項」を参照してください。

デバイス管理

保護されたワイプ アクションが利用可能になりました

[デバイスのワイプ] アクションを使用して、デバイスの保護されたワイプを実行できるようになりました。 保護されたワイプは標準のワイプと同じですが、デバイスの電源を切って回避することはできません。 保護されたワイプは、成功するまでデバイスのリセットを試み続けます。 一部の構成では、この操作によってデバイスが再起動できなくなる可能性があります。 詳細については、「 デバイスの削除またはワイプ」を参照してください。

デバイスの [概要] ページに追加されたデバイス イーサネット MAC アドレス

デバイスの詳細ページにデバイスのイーサネット MAC アドレスが表示されるようになりました (デバイス>すべてのデバイスでデバイス>>の概要を選択します。

デバイスのセキュリティ

デバイス ベースの条件付きアクセス ポリシーが有効になっている場合の共有デバイスでのエクスペリエンスの向上

ポリシーの適用時にユーザーの最新のコンプライアンス評価を確認することで、デバイス ベースの条件付きアクセス ポリシーを対象とする複数のユーザーとの共有デバイスでのエクスペリエンスを改善しました。 詳細については、次の概要に関する記事を参照してください。

• 条件付きアクセスの Azure の概要
• Intuneデバイス コンプライアンスの概要

PKCS 証明書プロファイルを使用して証明書を使用してデバイスをプロビジョニングする

PKCS 証明書プロファイルを使用して、Android for Work、iOS/iPadOS、および Windows を実行する デバイス に証明書を発行できるようになりました(Wi-Fi や VPN などのプロファイルに関連付けられている場合)。 以前は、これらの 3 つのプラットフォームではユーザーベースの証明書のみがサポートされていました。デバイス ベースのサポートは macOS に制限されていました。

注:

PKCS 証明書プロファイルは、Wi-Fi プロファイルではサポートされていません。 代わりに、 EAP の種類を使用するときに SCEP 証明書プロファイルを使用します。

デバイス ベースの証明書を使用するには、サポートされているプラットフォームの PKCS 証明書プロファイルを作成 するときに、[ 設定] を選択します。 [ 証明書の種類] の設定が表示され、[デバイス] または [ユーザー] のオプションがサポートされます。

監視とトラブルシューティング

一元化された監査ログ

新しい一元的な監査ログ エクスペリエンスによって、すべてのカテゴリの監査ログが 1 つのページに収集されるようになりました。 ログをフィルター処理して、探しているデータを取得できます。 監査ログを表示するには、[ テナント管理>] [監査ログ] の順に移動します。

監査ログ アクティビティの詳細に含まれるスコープ タグ情報

監査ログ アクティビティの詳細にスコープ タグ情報が含まれるようになりました (スコープ タグをサポートするオブジェクトIntune)。 監査ログの詳細については、「 監査ログを使用してイベントを追跡および監視する」を参照してください。

2019 年 11 月

アプリ管理

アプリ データを選択的にワイプするときの UI 更新

Intuneのアプリ データを選択的にワイプする UI が更新されました。 UI の変更には、次のものがあります。

• 1 つのウィンドウ内に圧縮されたウィザード スタイルの形式を使用して、簡略化されたエクスペリエンス。
• 割り当てを含める作成フローの更新。
• 新しいポリシーを作成する前、またはプロパティを編集する前に、プロパティを表示するときに設定されたすべての項目の概要ページ。 また、プロパティを編集すると、サマリーには、編集中のプロパティのカテゴリの項目の一覧のみが表示されます。

詳細については、「Intuneマネージド アプリから企業データのみをワイプする方法」を参照してください。

iOS と iPadOS のサード パーティ製キーボードのサポート

2019 年 3 月に、iOS アプリ保護 ポリシー設定のサード パーティ製キーボードのサポートが削除されたことを発表しました。 この機能は、iOS と iPadOS の両方のサポートを使用してIntuneに戻っています。 この設定を有効にするには、新規または既存の iOS/iPadOS アプリ保護ポリシーの [データ保護] タブにアクセスし、[データ転送] の [サード パーティ製キーボード] 設定を見つけます。

このポリシー設定の動作は、前の実装とは若干異なります。 SDK バージョン 12.0.16 以降を使用するマルチ ID アプリでは、この設定が [ブロック] に構成されたアプリ保護ポリシーを対象とするため、エンド ユーザーは、organizationと個人用アカウントの両方でサード パーティ/パートナー キーボードを選択できなくなります。 SDK バージョン 12.0.12 以前を使用するアプリでは、ブログ投稿タイトルに記載されている動作が引き続き表示されます。 既知の問題: 個人用アカウントの iOS ではサード パーティのキーボードはブロックされません。

ポータル サイトでの macOS 登録エクスペリエンスの向上

macOS の登録エクスペリエンス用のポータル サイトには、よりシンプルな登録プロセスが備わっています。これにより、iOS の登録エクスペリエンス用のポータル サイトと、より厳密な一致がとれます。 デバイス ユーザーに次が表示されるようになりました。

• より洗練されたユーザー インターフェイス。
• 強化された登録チェックリスト。
• デバイスの登録方法に関するより明確な説明。
• 強化されたトラブルシューティング オプション。

Windows ポータル サイト アプリから起動する Web アプリ

エンド ユーザーは、Windows ポータル サイト アプリから Web アプリを直接起動できるようになりました。 エンド ユーザーは Web アプリを選択し、[ ブラウザーで開く] オプションを選択できます。 発行された Web URL は、Web ブラウザー内で直接開かれます。 この機能は、次の週にわたってロールアウトされます。 Web アプリの詳細については、「Web アプリを Microsoft Intune に追加する」をご覧ください。

Windows 10のポータル サイトの新しい割り当て型列

[ポータル サイト>インストール済みアプリ>の割り当ての種類] 列の名前が、organizationによって [必須] に変更されました。 その列の下に、[はい] または [いいえ] の値が表示され、アプリが必須であるか、organizationによって省略可能であることが示されます。 これらの変更は、デバイス ユーザーが使用可能なアプリの概念について混乱したために行われました。 ユーザーは、ポータル サイトからアプリをインストールする方法の詳細については、「デバイスにアプリをインストールして共有する」を参照してください。 ユーザーのポータル サイト アプリの構成の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス構成

Jamf 管理を必要とする macOS ユーザー グループをターゲットにする

Jamf によって管理される macOS デバイスを取得するユーザーの特定のグループをターゲットにすることができます。 このターゲット設定を使用すると、他のデバイスがIntuneによって管理されている間に、macOS デバイスのサブセットに Jamf コンプライアンス統合を適用できます。 Jamf 統合を既に使用している場合、すべてのユーザー グループは既定で統合の対象になります。

iOS デバイスでEmailデバイス構成プロファイルを作成するときの新しいExchange ActiveSync設定

iOS/iPadOS デバイスでは、デバイス構成プロファイルで電子メール接続を構成できます (>デバイス構成>Create>iOS/iPadOS for platform >Email for profile type)。

次のような新しいExchange ActiveSync設定を使用できます。

• 同期する Exchange データ: 予定表、連絡先、リマインダー、メモ、Emailの同期 (または同期をブロック) する Exchange サービスを選択します。
• ユーザーによる同期設定の変更を許可する: ユーザーがデバイス上のこれらのサービスの同期設定を変更することを許可 (またはブロック) します。

これらの設定の詳細については、「Intuneの iOS デバイスのプロファイル設定をEmailする」を参照してください。

適用対象:

• iOS 13.0 以降
• iPadOS 13.0 以降

ユーザーが Android Enterprise のフル マネージドおよび専用デバイスに個人用 Google アカウントを追加できないようにする

Android Enterprise のフル マネージドおよび専用デバイスでは、ユーザーが個人用 Google アカウントを作成できないようにする新しい設定があります (デバイス>構成>Create>Android Enterprise for platform > デバイス所有者のみ プロファイルの種類>ユーザーとアカウント設定>個人用 Google アカウントのデバイス制限>)。

構成できる設定を確認するには、Android Enterprise デバイス設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise のフル マネージド デバイス
• Android Enterprise 専用デバイス

iOS/iPadOS デバイス制限プロファイルで Siri コマンド設定のサーバー側ログが削除される

iOS および iPadOS デバイスでは、Siri コマンドのサーバー側のログ記録設定は、Microsoft Intune管理センターから削除されます (デバイス>構成>Create>iOS/iPadOS for platform プロファイル>の種類>のデバイス制限組み込みアプリ)。

この設定は、デバイスには影響しません。 既存のプロファイルから設定を削除するには、プロファイルを開き、変更を加えてからプロファイルを保存します。 プロファイルが更新され、設定がデバイスから削除されます。

構成できるすべての設定を確認するには、「iOS および iPadOS デバイスの設定」を参照して、Intuneを使用して機能を許可または制限します。

適用対象:

• iOS/iPadOS

Windows 10機能更新プログラム (パブリック プレビュー)

Windows 10 デバイスにWindows 10機能更新プログラムを展開できるようになりました。 Windows 10機能更新プログラムは、デバイスをインストールして残しておくWindows 10のバージョンを設定する新しいソフトウェア更新プログラム ポリシーです。 この新しいポリシーの種類は、既存のWindows 10更新リングと共に使用できます。

Windows 10機能更新プログラム ポリシーを受け取るデバイスは、指定したバージョンの Windows をインストールし、ポリシーが編集または削除されるまでそのバージョンのままです。 新しいバージョンの Windows を実行するデバイスは、現在のバージョンのままです。 特定のバージョンの Windows で保持されているデバイスは、そのバージョンの品質更新プログラムとセキュリティ更新プログラムWindows 10インストールできます。

この新しい種類のポリシーは、今週テナントへのロールアウトを開始します。 このポリシーがまだテナントで使用できない場合は、間もなく使用できるようになります。

macOS アプリケーションの plist ファイルにキー情報を追加および変更する

macOS デバイスでは、アプリに関連付けられているプロパティ リスト ファイル (.plist) またはデバイス (デバイス>構成Create>macOS for platform >Preference File for profile type) をアップロードするデバイス構成>プロファイルを作成できるようになりました。

一部のアプリのみが管理設定をサポートしており、これらのアプリではすべての設定を管理できない場合があります。 ユーザー チャネル設定ではなく、デバイス チャネル設定を構成するプロパティ リスト ファイルをアップロードしてください。

この機能の詳細については、「Microsoft Intuneを使用して macOS デバイスにプロパティ リスト ファイルを追加する」を参照してください。

適用対象:

• 10.7 以降を実行している macOS デバイス

デバイス管理

Autopilot デバイスのデバイス名の値を編集する

参加している Autopilot デバイスの [デバイス名] の値Microsoft Entra編集できます。 詳細については、「 Autopilot デバイス属性の編集」を参照してください。

Autopilot デバイスのグループ タグの値を編集する

Autopilot デバイスのグループ タグの値を編集できます。 詳細については、「 Autopilot デバイス属性の編集」を参照してください。

監視とトラブルシューティング

サポート エクスペリエンスの更新

今日から、Intuneのヘルプとサポートを得るための、更新され合理化されたコンソール内エクスペリエンスがテナントにロールアウトされています。 この新しいエクスペリエンスがまだ利用できない場合は、すぐに利用できるようになります。

一般的な問題のコンソール内検索とフィードバック、およびサポートへの問い合わせに使用するワークフローが改善されました。 サポートの問題を開くと、コールバックまたは電子メールの返信を期待できる場合のリアルタイムの見積もりが表示されます。 Premier および Unified サポートのお客様は、サポートの迅速化に役立つ、問題の重大度を指定できます。

Intuneレポート エクスペリエンスの向上 (パブリック プレビュー)

Intuneにより、レポート エクスペリエンスが向上しました。 これには、新しいレポートの種類、より適切なレポートorganization、より焦点を絞ったビュー、レポート機能の向上、より一貫性のあるタイムリーなデータが含まれます。 新しいレポートの種類は、次に重点を置きます。

• 操作 - 正常性に重点を置いた新しいレコードを提供します。
• [組織] - 全体的な状態の概要を示します。
• 履歴 - 一定期間におけるパターンと傾向を提示します。
• スペシャリスト - 生データを使用し、独自のカスタム レポートを作成できます。

新しいレポートの最初のセットでは、デバイスのコンプライアンスに焦点を当てます。 詳細については、「ブログ - レポート フレームワークのMicrosoft Intune」と「レポートのIntune」を参照してください。

役割ベースのアクセス制御

カスタム ロールまたは組み込みロールを複製する

組み込みロールとカスタム ロールをコピーできるようになりました。 詳細については、「 ロールのコピー」を参照してください。

学校管理者ロールの新しいアクセス許可

プロファイル の割り当て と デバイスの同期という 2 つの新しいアクセス許可が、学校管理者ロール >のアクセス許可>登録プログラムに追加されました。 同期プロファイルのアクセス許可を使用すると、グループ管理者は Windows Autopilot デバイスを同期できます。 プロファイルの割り当てアクセス許可を使用すると、ユーザーが開始した Apple 登録プロファイルを削除できます。 また、Autopilot デバイスの割り当てと Autopilot 展開プロファイルの割り当てを管理するためのアクセス許可も付与されます。 すべての学校管理者/グループ管理者のアクセス許可の一覧については、「グループ管理者の 割り当て」を参照してください。

セキュリティ

BitLocker キーの交換

Intune デバイス アクションを使用して、Windows バージョン 1909 以降を実行するマネージド デバイスの BitLocker 回復キーをリモートでローテーションできます。 回復キーをローテーションする資格を得るには、回復キーのローテーションをサポートするようにデバイスを構成する必要があります。

SCEP デバイス証明書の展開をサポートするための専用デバイス登録へのUpdates

Intuneでは、Wi-Fi プロファイルへの証明書ベースのアクセスのために、Android Enterprise 専用デバイスへの SCEP デバイス証明書の展開がサポートされるようになりました。 展開を機能させるには、Microsoft Intune アプリがデバイスに存在する必要があります。 その結果、Android Enterprise 専用デバイスの登録エクスペリエンスが更新されました。 新しい登録は引き続き同じ (QR、NFC、ゼロタッチ、またはデバイス識別子で) 開始されますが、ユーザーがIntune アプリをインストールする必要がある手順が追加されました。 既存のデバイスでは、アプリがローリング ベースで自動的にインストールされます。

ビジネス間コラボレーションの監査ログをIntuneする

ビジネス間 (B2B) コラボレーションを使用すると、会社のアプリケーションとサービスを他のorganizationのゲスト ユーザーと安全に共有しながら、独自の企業データを制御できます。 Intuneでは、B2B ゲスト ユーザーの監査ログがサポートされるようになりました。 たとえば、ゲスト ユーザーが変更を加えた場合、Intuneは監査ログを使用してこのデータをキャプチャできます。 詳細については、「Microsoft Entra B2B のゲスト ユーザー アクセスとは」を参照してください。

セキュリティ ベースラインは Microsoft Azure Governmentでサポートされています

Microsoft Azure GovernmentでホストされているIntuneのインスタンスは、セキュリティ ベースラインを使用して、ユーザーとデバイスのセキュリティ保護と保護に役立つようになりました。

2019 年 10 月

アプリ管理

Android 用 Intune ポータル サイト アプリでのチェックリストの設計の改良

Android 用 Intune ポータル サイト アプリのセットアップ チェックリストが、軽量のデザインと新しいアイコンによって更新されました。 変更は、iOS 用のポータル サイト アプリに対して行われた最近の更新プログラムと一致します。 変更を並べて比較する方法については、「 アプリ UI の新機能」を参照してください。 更新された登録手順の詳細については、「Android 仕事用プロファイルを使用して登録する」および「Android デバイスを登録する」をご覧ください。

Windows 10 S モード デバイス上の Win32 アプリ

Windows 10 S モードのマネージド デバイスに Win32 アプリをインストールして実行できます。 このタスクでは、Windows Defender アプリケーション制御 (WDAC) PowerShell ツールを使用して、S モードの 1 つ以上の補足ポリシーを作成できます。 Device Guard 署名ポータルで補足ポリシーに署名し、Intune経由でポリシーをアップロードして配布します。 Intuneでは、[クライアント アプリ>Windows 10 S 補助ポリシー] を選択すると、この機能が表示されます。 詳細については、「 S モード デバイスで Win32 アプリを有効にする」を参照してください。

日付と時刻に基づいて Win32 アプリの可用性を設定する

管理者は、必要な Win32 アプリの開始時刻と期限を構成できます。 開始時に、Intune管理拡張機能によってアプリ コンテンツのダウンロードが開始され、キャッシュされます。 期限時刻になると、アプリはインストールされます。 使用可能なアプリの場合、開始時刻は、アプリがポータル サイトに表示されるタイミングを決定します。 詳細については、「Intune Win32 アプリ管理」を参照してください。

Win32 アプリのインストール後の猶予期間に基づいてデバイスの再起動を要求する

Win32 アプリが正常にインストールされた後、デバイスを再起動する必要があります。 詳細については、「 Win32 アプリ管理」を参照してください。

iOS ポータル サイトのダーク モード

ダーク モードは、iOS ポータル サイトで使用できます。 ユーザーは、会社のアプリをダウンロードし、デバイスを管理し、デバイス設定に基づいて選択した配色で IT サポートを受けることができます。 iOS ポータル サイトは、エンド ユーザーのデバイス設定とダーク モードまたはライト モードで自動的に一致します。 詳細については、「iOS 用のMicrosoft Intune ポータル サイトでのダーク モードの概要」を参照してください。 iOS ポータル サイトの詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Android ポータル サイト適用される最小アプリ バージョン

アプリ保護ポリシーの [最小ポータル サイトバージョン] 設定を使用すると、エンド ユーザー デバイスに適用されるポータル サイトの特定の最小定義バージョンを指定できます。 この条件付き起動設定を使用すると、値が満たされていない場合に アクセスをブロックしたり、 データをワイプしたり、可能な限り 警告 したりすることができます。 この値に使用できる形式は 、[メジャー] に従います。[Minor], [Major].[Minor].[ビルド]、または [メジャー].[Minor].[ビルド]。[リビジョン] パターン。

[最小ポータル サイトバージョン] 設定が構成されている場合、ポータル サイトのバージョン 5.0.4560.0 を取得するすべてのエンド ユーザーと、ポータル サイトの将来のバージョンに影響します。 この設定は、この機能がリリースされたバージョンよりも古いバージョンのポータル サイトを使用しているユーザーには影響しません。 デバイスでアプリの自動更新を使用しているエンド ユーザーは、最新のポータル サイトバージョンである可能性が高い場合、この機能のダイアログが表示されない可能性があります。 この設定は、登録済みデバイスと登録解除済みデバイスに対するアプリ保護を備えた Android のみです。 詳細については、「 Android アプリ保護ポリシー設定 - 条件付き起動」を参照してください。

Mobile Threat Defense アプリを未登録のデバイスに追加する

デバイスの正常性に基づいてユーザーの企業データをブロックまたは選択的にワイプできる、Intuneアプリ保護ポリシーを作成できます。 デバイスの正常性は、選択した Mobile Threat Defense (MTD) ソリューションを使用して決定されます。 この機能は、Intune登録済みデバイスをデバイス コンプライアンス設定として使用して現在存在します。 この新機能により、Mobile Threat Defense ベンダーからの脅威検出が、登録されていないデバイスで機能するように拡張されます。 Android では、この機能にはデバイスの最新のポータル サイトが必要です。 iOS では、この機能は、アプリが最新の Intune SDK (v 12.0.15 以降) を統合するときに使用できます。 最初のアプリが最新のIntune SDK を採用すると、新機能に関する記事が更新されます。 残りのアプリは、ローリング ベースで利用できるようになります。 詳細については、「Intune でモバイル脅威防御アプリ保護ポリシーを作成する」を参照してください。

Android 仕事用プロファイルで利用可能な Google Play アプリ レポート

Android Enterprise 仕事用プロファイル、専用デバイス、フル マネージド デバイスで使用可能なアプリのインストールについては、アプリのインストール状態と、インストールされているバージョンのマネージド Google Play アプリを表示できます。 詳細については、「アプリ保護ポリシーを監視する方法」、「Intuneを使用して Android 仕事用プロファイル デバイスを管理する」、および「マネージド Google Play アプリの種類」を参照してください。

Windows 10と macOS 用の Microsoft Edge バージョン 77 以降 (パブリック プレビュー)

Microsoft Edge バージョン 77 以降は、Windows 10と macOS を実行している PC に展開できます。

パブリック プレビューでは、Windows 10用の開発チャネルとベータ 版チャネル、macOS 用のベータ チャネルが提供されます。 展開は英語 (EN) のみですが、エンド ユーザーはブラウザーの [設定言語]> で表示言語を変更できます。 Microsoft Edge は、システム コンテキストやアーキテクチャ (x86 OS では x86 アプリ、x64 OS では x64 アプリ) にインストールされた Win32 アプリです。 さらに、ブラウザーの自動更新は既定で [オン] になり、Microsoft Edge をアンインストールすることはできません。 詳細については、「Windows 10用の Microsoft Edge をMicrosoft Intuneに追加する」および「Microsoft Edge のドキュメント」を参照してください。

アプリ保護 UI と iOS アプリ プロビジョニング UI に更新する

Intuneでアプリ保護ポリシーと iOS アプリ プロビジョニング プロファイルを作成および編集する UI が更新されました。 UI の変更には、次のものがあります。

• 1 つのブレード内に圧縮されたウィザード スタイルの形式を使用して、簡略化されたエクスペリエンス。
• 割り当てを含める作成フローの更新。
• 新しいポリシーを作成する前、またはプロパティを編集する前に、プロパティを表示するときに設定されたすべての項目の概要ページ。 また、プロパティを編集すると、サマリーには、編集中のプロパティのカテゴリの項目の一覧のみが表示されます。

詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」と 「 iOS アプリ プロビジョニング プロファイルを使用する」を参照してください。

ガイド付きシナリオをIntuneする

Intuneでは、Intune内の特定のタスクまたは一連のタスクを完了するのに役立つガイド付きシナリオが提供されるようになりました。 ガイド付きシナリオは、1 つのエンド ツー エンドのユース ケースを中心としたカスタマイズされた一連の手順 (ワークフロー) です。 一般的なシナリオは、管理者、ユーザー、またはデバイスがorganizationで果たすロールに基づいて定義されます。 これらのワークフローでは、通常、最適なユーザー エクスペリエンスとセキュリティを提供するために、慎重に調整されたプロファイル、設定、アプリケーション、およびセキュリティ制御のコレクションが必要です。 新しいガイド付きシナリオは次のとおりです。

• Microsoft Edge for Mobile を展開する
• 安全な Microsoft Office Mobile アプリ
• クラウド管理されたモダン デスクトップ

詳細については、「ガイド付きシナリオの概要Intune」を参照してください。

使用可能なアプリ構成変数

アプリ構成ポリシーを作成するときに、構成設定の AAD_Device_ID 一部として構成変数を含めることができます。 Intuneで、[クライアント アプリ]> [アプリ構成ポリシー] [追加] の順に選択します>。 構成ポリシーの詳細を入力し、[ 構成設定 ] を選択して [ 構成設定 ] ブレードを表示します。 詳細については、「 管理対象 Android Enterprise デバイスのアプリ構成ポリシー - 構成デザイナーを使用する」を参照してください。

ポリシー セットと呼ばれる管理オブジェクトのグループをCreateする

ポリシー セットを使用すると、1 つの概念単位として識別、対象化、監視する必要がある既存の管理エンティティへの参照のバンドルを作成できます。 ポリシー セットは、既存の概念やオブジェクトを置き換えるわけではありません。 引き続きIntuneで個々のオブジェクトを割り当てることができ、ポリシー セットの一部として個々のオブジェクトを参照できます。 したがって、これらの個々のオブジェクトに対する変更は、ポリシー セットに反映されます。 Intuneで、[ポリシー セット>Createを選択して新しいポリシー セットを作成します。

デバイス構成

'

Windows 10以降のデバイスの新しいデバイス ファームウェア構成インターフェイス プロファイル (パブリック プレビュー)

Windows 10以降では、デバイス構成プロファイルを作成して、設定と機能 (デバイス>の構成>Create Windows 10>以降のプラットフォーム) を制御できます。 この更新プログラムには、Intuneが UEFI (BIOS) 設定を管理できるようにする新しいデバイス ファームウェア構成インターフェイス プロファイルの種類があります。

この機能の詳細については、「Microsoft Intuneの Windows デバイスで DFCI プロファイルを使用する」を参照してください。

適用対象:

• サポートされているファームウェアで RS5 (1809) 以降をWindows 10する

Windows 10更新リングを作成および編集するための UI 更新プログラム

Intuneのリングを更新するWindows 10作成および編集するための UI ex'erience が更新されました。 UI の変更点は次のとおりです。

• ウィザードスタイルの形式が 1 つのブレードに圧縮され、更新リングを構成するときにブレードが前に表示されていたのを取り除きます。
• 変更されたワークフローには、リングの初期構成を完了する前に、割り当てが含まれます。
• 新しい更新リングを保存して展開する前に、作成したすべての構成を確認するために使用できる概要ページ。 更新リングを編集すると、編集したプロパティのカテゴリ内で設定された項目の一覧のみが概要に表示されます。

iOS ソフトウェア更新ポリシーを作成および編集するための UI 更新プログラム

Intuneの iOS ソフトウェア更新ポリシーを作成および編集するための UI エクスペリエンスが更新されました。 UI の変更点は次のとおりです。

• ウィザードスタイルの形式が 1 つのブレードに圧縮され、更新ポリシーを構成するときに前に見たブレードのスプロールが不要になります。
• 変更されたワークフローには、ポリシーの初期構成を完了する前に、割り当てが含まれます。
• 新しいポリシーを保存して展開する前に、作成したすべての構成を確認するために使用できる概要ページ。 ポリシーを編集すると、サマリーには、編集したプロパティのカテゴリ内で設定された項目の一覧のみが表示されます。

エンゲージされた再起動設定がWindows Updateリングから削除される

既に発表したように、IntuneのWindows 10更新リングは期限の設定をサポートし、エンゲージ再起動をサポートしなくなりました。 Intuneで更新リングを構成または管理する場合、Engaged 再起動の設定は使用できなくなりました。

この変更は、最近の Windows サービスの変更と一致し、1903 以降Windows 10実行されているデバイスでは、期限は、関与した再起動の構成よりも優先されます。

Android Enterprise 仕事用プロファイル デバイスでの不明なソースからのアプリのインストールを禁止する

Android Enterprise 仕事用プロファイル デバイスでは、ユーザーは不明なソースからアプリをインストールすることはできません。 この更新プログラムには、 個人用プロファイルの不明なソースからのアプリのインストールを禁止するという新しい設定があります。 既定では、この設定により、ユーザーは不明なソースからデバイス上の個人用プロファイルにアプリをサイドローディングできなくなります。

構成できる設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise の作業プロフィール

Android Enterprise デバイス所有者デバイスでグローバル HTTP プロキシをCreateする

Android Enterprise デバイスでは、グローバル HTTP プロキシを構成して、organizationの Web 閲覧標準 (デバイス>構成>Create>Android Enterprise for platform >デバイス所有者>プロファイルの種類>のデバイス制限接続) を満たすことができます。 構成が完了すると、すべての HTTP トラフィックがこのプロキシを使用します。

この機能を構成し、構成したすべての設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise デバイス所有者

Android デバイス管理者と Android Enterprise の Wi-Fi プロファイルで自動的に接続設定が削除される

Android デバイス管理者と Android Enterprise デバイスでは、Wi-Fi プロファイルを作成して、さまざまな設定 (デバイス>構成>Create Android デバイス管理者、>または Android Enterprise for platform Wi-Fi for profile > type) を構成できます。 この更新プログラムでは、Android ではサポートされていないため、[接続] 設定は自動的に削除されます。

Wi-Fi プロファイルでこの設定を使用すると、 Connect が自動的に 機能しないことがわかります。 アクションを実行する必要はありませんが、この設定は Intune ユーザー インターフェイスで削除されていることに注意してください。

現在の設定を表示するには、[ Android Wi-Fi 設定] または [ Android Enterprise Wi-Fi 設定] に移動します。

適用対象:

• Android デバイス管理者
• Android Enterprise

監視対象の iOS デバイスと iPadOS デバイスの新しいデバイス構成設定

iOS および iPadOS デバイスでは、プロファイルを作成して、デバイスの機能と設定を制限できます (デバイス>の構成>Create>iOS/iPadOS for platform プロファイル>の種類のデバイス制限)。 この更新プログラムでは、次の新しい設定を制御できます。

• ファイル アプリのネットワーク ドライブへのアクセス
• ファイル アプリの USB ドライブへのアクセス
• 常にオンになっている Wi-Fi

これらの設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• iOS 13.0 以降
• iPadOS 13.0 以降

デバイスの登録

既定のエクスペリエンス (OOBE) によってプロビジョニングされたデバイスの [登録状態] ページのみを表示するように切り替えます

Autopilot OOBE によってプロビジョニングされたデバイスに対してのみ登録状態ページを表示するように選択できるようになりました。

新しいトグルを表示するには、[Intune デバイスの登録] [Windows 登録>>の状態] ページ>Create > [プロファイル>の設定>] [既定のエクスペリエンス (OOBE) によってプロビジョニングされたデバイスにのみページを表示する] を選択します。

仕事用プロファイルまたはデバイス管理者登録で登録する Android デバイス オペレーティング システムのバージョンを指定する

Intuneデバイスの種類の制限を使用して、デバイスの OS バージョンを使用して、Android Enterprise 仕事用プロファイル登録または Android デバイス管理者登録を使用するユーザー デバイスを指定できます。 詳細は、「登録制限を設定する」を参照してください。

デバイス管理

Intuneは iOS 11 以降をサポートしています

Intune登録とポータル サイトでは、iOS バージョン 11 以降がサポートされるようになりました。 以前のバージョンはサポートされていません。

Windows デバイスの名前を変更するための新しい制限

Windows デバイスの名前を変更するときは、新しい規則に従う必要があります。

• 15 文字以下 (末尾の NULL を含まない 63 バイト以下にする必要があります)
• null または空の文字列にしない
• 使用できる ASCII: 文字 (a-z、a-z)、数字 (0-9)、およびハイフン
• 許可される Unicode: 文字 >= 0x80、有効な UTF8 である必要があります。IDN マップ可能である必要があります (つまり、RtlIdnToNameprepUnicode が成功します。RFC 3492 を参照してください)。
• 名前は数字だけにすることができない
• 名前にスペースを使用できない
• 許可されていない文字: { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)

詳細については、「Intuneでデバイスの名前を変更する」を参照してください。

デバイスの概要ページの新しい Android レポート

[デバイスの概要] ページの新しいレポートには、各デバイス管理ソリューションに登録されている Android デバイスの数が表示されます。 このグラフは、仕事用プロファイル、フル マネージド、専用、およびデバイス管理者が登録したデバイス数を示しています。 レポートを表示するには、[Intune>デバイスの>概要] を選択します。

デバイスのセキュリティ

Microsoft Edge ベースライン (プレビュー)

Microsoft Edge 設定のセキュリティ ベースライン プレビューが追加されました。

macOS 用の PKCS 証明書

macOS で PKCS 証明書を使用できるようになりました。 macOS のプロファイルの種類として PKCS 証明書を選択し、 サブジェクトとサブジェクトの別名フィールドをカスタマイズしたユーザー証明書とデバイス証明書をデプロイできます。

macOS 用の PKCS 証明書では、新しい設定である [すべてのアプリへのアクセスを許可する] もサポートされています。 この設定を使用すると、関連付けられているすべてのアプリが証明書の秘密キーにアクセスできるようにします。 この設定の詳細については、 の Apple ドキュメントを参照してください https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf。

証明書を使用して iOS モバイル デバイスをプロビジョニングするための派生資格情報

Intuneでは、認証方法としての派生資格情報の使用と、iOS デバイスの S/MIME 署名と暗号化の使用がサポートされています。 派生資格情報は、デバイスに証明書を展開するための 国立標準技術研究所 (NIST) 800-157 標準の実装です。

派生資格情報は、スマート カードなど、個人 ID 検証 (PIV) または Common Access Card (CAC) カードの使用に依存します。 モバイル デバイスの派生資格情報を取得するには、ユーザーはポータル サイト アプリから開始し、使用するプロバイダーに固有の登録ワークフローに従います。 すべてのプロバイダーに共通なのは、コンピューター上のスマート カードを使用して派生資格情報プロバイダーに対する認証を行う必要があります。 その後、そのプロバイダーは、ユーザーのスマート カードから派生したデバイスに証明書を発行します。

Intuneでは、次の派生資格情報プロバイダーがサポートされています。

• DISA Purebred
• Entrust
• Intercede

VPN、Wi-Fi、電子メールのデバイス構成プロファイルの認証方法として、派生資格情報を使用します。 また、アプリ認証、S/MIME の署名と暗号化にも使用できます。

標準の詳細については、「www.nccoe.nist.gov の派生 PIV 資格情報」を参照してください。

Graph APIを使用して、SCEP 証明書の変数としてオンプレミスのユーザー プリンシパル名を指定します

Intune Graph APIを使用する場合は、SCEP 証明書のサブジェクト代替名 (SAN) の変数として onPremisesUserPrincipalName を指定できます。

'

Microsoft 365 デバイス管理

Microsoft 365 デバイス管理での管理エクスペリエンスの向上

Microsoft 365 デバイス管理 スペシャリスト ワークスペースhttps://endpoint.microsoft.comでは、次のような最新かつ効率的な管理エクスペリエンスが一般公開されました。

• 更新されたナビゲーション: 機能を論理的にグループ化する簡略化された第 1 レベルのナビゲーションが表示されます。
• 新しいプラットフォーム フィルター: [デバイスとアプリ] ページで、選択したプラットフォームのポリシーとアプリのみを表示する 1 つのプラットフォームを選択できます。
• 新しいホーム ページ: 新しいホーム ページで、サービスの正常性、テナントの状態、ニュースなどをすぐに確認できます。 ' これらの機能強化の詳細については、Microsoft Tech Community Web サイトのEnterprise Mobility + Securityブログ投稿を参照してください。

Microsoft 365 デバイス管理でのエンドポイント セキュリティ ノードの概要

エンドポイント セキュリティ ノードは、 の Microsoft 365 デバイス管理 スペシャリスト ワークスペースで一般公開されました。このワークスペースでは、次のようなエンドポイントをセキュリティでhttps://endpoint.microsoft.com保護するために機能をグループ化します。

• セキュリティ ベースライン: Microsoft によって推奨される既知の設定グループと既定値を適用するのに役立つ、事前に構成された設定のグループ。
• セキュリティ タスク: エンドポイントの脅威と脆弱性管理 (TVM) のMicrosoft Defenderを活用し、Intuneを使用してエンドポイントの弱点を修復します。
• Microsoft Defender for Endpoint: セキュリティ侵害の防止に役立つ統合Microsoft Defender for Endpoint。

これらの設定は、デバイスなどの他の適用可能なノードから引き続きアクセスできます。 現在構成されている状態は、これらの機能にアクセスして有効にしても同じになります。

これらの機能強化の詳細については、Microsoft Tech Community Web サイトIntuneカスタマー サクセスに関するブログ投稿を参照してください。

2019 年 9 月

アプリ管理

マネージド Google Play プライベート LOB アプリ'

Intune、IT 管理者は、Intune コンソールに埋め込まれた iframe を使用して、プライベート Android LOB アプリをマネージド Google Play に発行できるようになりました。 以前は、IT 管理者は LOB アプリを Google の Play 発行コンソールに直接発行する必要があり、これにはいくつかの手順が必要であり、時間が必要でした。 この新機能を使用すると、最小限の手順で LOB アプリを簡単に発行でき、Intuneコンソールから離れる必要はありません。 管理者は、開発者として Google に手動で登録する必要がなくなり、Google $25 の登録料金を支払う必要がなくなります。 マネージド Google Play を使用する Android Enterprise 管理シナリオでは、この機能 (仕事用プロファイル、専用、フル マネージド、および登録されていないデバイス) を利用できます。 [Intuneから、[クライアント アプリ][アプリ>>の追加] の順に選択します。 次に、アプリの種類の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリの詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

Windows ポータル サイト エクスペリエンス

Windows ポータル サイトが更新されています。 Windows ポータル サイト内の [アプリ] ページで複数のフィルターを使用できます。 [デバイスの詳細] ページも、ユーザー エクスペリエンスが向上して更新されています。 これらの更新プログラムをすべての顧客にロールアウト中であり、来週の終わりまでに完了する予定です。

web アプリの macOS サポート

Web 上の URL へのショートカットを追加できる Web アプリは、macOS ポータル サイトを使用して Dock にインストールできます。 エンド ユーザーは、macOS ポータル サイトの Web アプリのアプリの詳細ページから [インストール] アクションにアクセスできます。 Web リンク アプリの種類の詳細については、「アプリをMicrosoft Intuneに追加する」および「Web アプリをMicrosoft Intuneに追加する」を参照してください。

vPP アプリの macOS サポート

Apple Business Manager を使用して購入した macOS アプリは、Intuneで Apple VPP トークンが同期されるとコンソールに表示されます。 Intune コンソールを使用して、グループのデバイス とユーザー ベースのライセンスを割り当て、取り消し、再割り当てできます。 Microsoft Intuneは、会社で使用するために購入した VPP アプリを次の方法で管理するのに役立ちます。

• アプリ ストアからのライセンス情報の報告。
• 使用したライセンスの数を追跡します。
• organizationが所有するよりも多くのアプリのコピーのインストールを防ぐのに役立ちます。

Intuneと VPP の詳細については、「Microsoft Intuneを使用してボリューム購入アプリと書籍を管理する」を参照してください。

マネージド Google Play iframe のサポート

Intuneでは、マネージド Google Play iframe を使用して、Intune コンソールで Web リンクを直接追加および管理できるようになりました。 この機能により、IT 管理者は URL とアイコン グラフィックを送信し、それらのリンクを通常の Android アプリと同じようにデバイスに展開できます。 マネージド Google Play を使用する Android Enterprise 管理シナリオでは、この機能 (仕事用プロファイル、専用、フル マネージド、および登録されていないデバイス) を利用できます。 [Intuneから、[クライアント アプリ][アプリ>>の追加] の順に選択します。 次に、アプリの種類の一覧から [マネージド Google Play] を選択します。 マネージド Google Play アプリの詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

Zebra デバイスに Android LOB アプリをサイレント インストールする

Android 基幹業務 (LOB) アプリを Zebra デバイスにインストールする場合、LOB アプリのダウンロードとインストールの両方を求められるのではなく、アプリをサイレント インストールできます。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 [ アプリの種類の選択 ] ウィンドウ で、[基幹業務アプリ] を選択します。 詳細については、「Android 基幹業務アプリをMicrosoft Intuneに追加する」を参照してください。

現時点では、LOB アプリがダウンロードされると、ユーザーのデバイスに ダウンロード成功 通知が表示されます。 通知は、通知の網掛けで [すべてクリア ] をタップすることによってのみ無視できます。 この通知の問題は今後のリリースで修正され、インストールはビジュアル インジケーターなしでサイレントになります。

Intune アプリのGraph API操作の読み取りと書き込み

アプリケーションは、ユーザー資格情報なしでアプリ ID を使用して、読み取り操作と書き込み操作の両方でIntune Graph APIを呼び出すことができます。 Intune用の Microsoft Graph APIへのアクセスの詳細については、「Microsoft Graph でのIntuneの操作」を参照してください。

Intune App SDK for iOS の保護されたデータ共有と暗号化

Intune App SDK for iOS では、App Protection ポリシーによって暗号化が有効になっている場合、256 ビット暗号化キーが使用されます。 保護されたデータ共有を許可するには、すべてのアプリに SDK バージョン 8.1.1 が必要です。

Microsoft Intune アプリに対する更新

次の機能強化によって Android 用の Microsoft Intune アプリが更新されています。

• 最も重要な操作のための下部ナビゲーションが含まれるように、レイアウトの更新と強化が行われました。
• ユーザーのプロファイルを示す別のページを追加しました。
• ユーザーがアクション可能な通知 (例: デバイス設定の更新が必要) の表示がアプリに追加されました。
• カスタム プッシュ通知の表示がサポートされるようになり、iOS と Android 用のポータル サイト アプリに最近追加されたサポートと連携します。 詳細は、「Intune でカスタム通知を送信する」を参照してください。 ""

iOS デバイスの場合は、ポータル サイトの登録プロセスのプライバシー画面をカスタマイズします

Markdown を使用すると、iOS 登録時にエンド ユーザーに表示されるポータル サイトのプライバシー画面をカスタマイズできます。 具体的には、organizationがデバイスで表示または実行できないことの一覧をカスタマイズできます。 詳細については、「Intune ポータル サイト アプリを構成する方法」を参照してください。

デバイス構成

iOS の IKEv2 VPN プロファイルのサポート

この更新プログラムでは、IKEv2 プロトコルを使用して、iOS ネイティブ VPN クライアントの VPN プロファイルを作成できます。 IKEv2 は、プロファイルの種類 [接続の種類] のプラットフォーム >VPN 用のデバイス>構成>Create>iOS の新しい接続の種類>です。

これらの VPN プロファイルはネイティブ VPN クライアントを構成するため、VPN クライアント アプリがインストールされたり、マネージド デバイスにプッシュされたりしません。 この機能では、デバイスを Intune (MDM 登録) に登録する必要があります。

構成できる現在の VPN 設定を確認するには、[ iOS デバイスで VPN 設定を構成する] に移動します。

適用対象:

• iOS

iOS および macOS 設定のデバイス機能、デバイス制限、拡張機能プロファイルは、登録の種類別に表示されます

Intuneでは、iOS デバイスと macOS デバイス (デバイス>の構成>Create>iOS または macOS のプラットフォーム>のデバイス機能、デバイスの制限、またはプロファイルの種類の拡張機能) のプロファイルを作成します。

この更新プログラムでは、Intune管理センターで使用できる設定は、適用する登録の種類によって分類されます。

• iOS

  • ユーザー登録
  • デバイスの登録
  • 自動デバイス登録 (監視対象)
  • すべての登録の種類

• macOS

  • 承認されたユーザー
  • デバイスの登録
  • 自動デバイス登録
  • すべての登録の種類

適用対象:

• iOS

キオスク モードで実行されている監視対象 iOS デバイスの新しい音声制御設定

Intuneでは、監視対象の iOS デバイスをキオスクとして実行するポリシー、または専用デバイス (デバイス>構成>Create>iOS for platform > プロファイルの種類>キオスクのデバイス制限) を作成できます。

この更新プログラムでは、次の新しい設定を制御できます。

• 音声制御: キオスク モード中にデバイスで音声制御を有効にします。
• 音声コントロールの変更: ユーザーがキオスク モードの間にデバイスの音声コントロール設定を変更できるようにします。

現在の設定を表示するには、[ iOS キオスクの設定] に移動します。

適用対象:

• iOS 13.0 以降

iOS デバイスと macOS デバイスでアプリと Web サイトにシングル サインオンを使用する

この更新プログラムでは、iOS デバイスと macOS デバイス (デバイス>の構成>Create>iOS または macOS のプラットフォーム>用の新しいシングル サインオン設定プロファイルの種類のデバイス機能) があります。

これらの設定を使用して、特に Kerberos 認証を使用するアプリや Web サイトのシングル サインオン エクスペリエンスを構成します。 一般的な資格情報のシングル サインオン アプリ拡張機能と、Apple の組み込みの Kerberos 拡張機能のどちらかを選択できます。

構成できる現在のデバイス機能を確認するには、 iOS デバイス機能と macOS デバイス機能 に関する ページを参照してください。

適用対象:

• iOS 13.' 以降
• macOS 10.15 以降

macOS 10.15 以降のデバイス上のアプリにドメインを関連付ける

macOS デバイスでは、さまざまな機能を構成し、ポリシー (デバイス>構成>Create>macOS for platform > プロファイルの種類のデバイス機能) を使用して、これらの機能をデバイスにプッシュできます。 この更新プログラムでは、ドメインをアプリに関連付けることができます。 この機能は、アプリに関連する Web サイトと資格情報を共有するのに役立ち、Apple のシングル サインオン拡張機能、ユニバーサル リンク、パスワードオートフィルで使用できます。

構成できる現在の機能を確認するには、Intuneの macOS デバイス機能設定に移動します。

適用対象:

• macOS 10.15 以降

iOS 監視対象デバイスでアプリを表示または非表示にする場合は、iTunes アプリ ストアの URL で "iTunes" と "apps" を使用します

Intuneでは、監視対象の iOS デバイスでアプリを表示または非表示にするポリシーを作成できます (プラットフォーム>のデバイス>の構成>Create>iOS プロファイルの種類>のデバイス制限アプリの表示または非表示)。

iTunes App Store の URL (など https://itunes.apple.com/us/app/work-folders/id950878067?mt=8) を入力できます。 この更新プログラムでは、 と itunes の両方appsを URL で次のように使用できます。

• https://itunes.apple.com/us/app/work-folders/id950878067?mt=8
• https://apps.apple.com/us/app/work-folders/id950878067?mt=8

これらの設定の詳細については、「アプリを 表示または非表示にする」を参照してください。

適用対象:

• iOS

Windows 10コンプライアンス ポリシーのパスワードの種類の値がより明確になり、CSP と一致します

Windows 10デバイスでは、特定のパスワード機能 (デバイス コンプライアンス>ポリシー>Createポリシー Windows 10以降のプラットフォーム>システム セキュリティ) を必要とするコンプライアンス ポリシー>を作成できます。 この更新プログラムでは、次の操作を行います。

• [パスワードの種類] の値がより明確になり、DeviceLock/英数字DevicePasswordRequired CSP と一致するように更新されます。
• [パスワードの有効期限 (日数)] 設定が更新され、1 日から 730 日の値が許可されます。

Windows 10コンプライアンス設定の詳細については、「Windows 10以降の設定」を参照して、デバイスを準拠または非準拠としてマークします。

適用対象:

• Windows 10 以降

Microsoft Exchange オンプレミス アクセスを構成するための UI を更新しました

Microsoft Exchange オンプレミス アクセスへのアクセスを構成するコンソールが更新されました。 Exchange オンプレミス アクセスのすべての構成が、Exchange オンプレミスのアクセス 制御を有効にするコンソールの同じペインで使用できるようになりました。

Android Enterprise 仕事用プロファイル デバイスのホーム画面へのアプリ ウィジェットの追加を許可または制限する

Android Enterprise デバイスでは、仕事用プロファイルの機能を構成できます (デバイス>構成>Create>Android Enterprise for platform >仕事用プロファイルのみ > プロファイルの種類に関するデバイスの制限)。 この更新プログラムでは、ユーザーが仕事用プロファイル アプリによって公開されるウィジェットをデバイスのホーム画面に追加できます。

構成できる設定を確認するには、Android Enterprise デバイス設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise の作業プロフィール

デバイスの登録

新しいテナントは既定で Android デバイス管理者の管理から離れる

Android のデバイス管理者機能は、Android Enterprise に置き換えられます。 そのため、代わりに新しい登録に Android Enterprise を使用することをお勧めします。 今後の更新では、新しいテナントは、デバイス管理者管理を使用するために、Android 登録の次の前提条件の手順を完了する必要があります。 Intune [デバイスの登録] [Android の登録>] [>個人および企業所有のデバイスの登録>] に移動し、[デバイス管理者を使用してデバイスを管理する] 権限>を持ちます。

既存のテナントでは、環境に変更はありません。

Intuneの Android デバイス管理者の詳細については、「Android デバイス管理者の登録」を参照してください。

プロファイルに関連付けられている DEP デバイスの一覧

プロファイルに関連付けられている Apple 自動デバイス登録プログラム (DEP) デバイスのページ一覧が表示されるようになりました。 リスト内の任意のページからリストを検索できます。 一覧を表示するには、Intune>Device enrollment>Apple enrollment>program tokens> select a token >Profiles> choose a profile Assigned devices ([モニター] の下にある) [プロファイル>] [割り当て済みデバイス] の順に移動します。

プレビューでの iOS ユーザー登録

Apple の iOS 13.1 リリースには、iOS デバイスの軽量管理の新しい形式であるユーザー登録が含まれています。 個人所有デバイスのデバイス登録または自動デバイス登録 (旧称デバイス登録プログラム) の代わりに使用できます。 Intuneのプレビューでは、次の機能セットがサポートされています。

• ユーザー グループへのターゲット ユーザー登録。
• エンド ユーザーは、デバイスを登録するときに、より軽量なユーザー登録またはより強力なデバイス登録を選択できます。

2019 年 9 月 24 日から iOS 13.1 のリリース以降、これらの更新プログラムはすべてのお客様にロールアウト中であり、来週の終わりまでに完了する予定です。

適用対象:

• iOS 13.1 以降

デバイス管理

その他の Android フル マネージド サポート

Android フル マネージド デバイスの次のサポートが追加されました。

• フル マネージド Android の SCEP 証明書は、デバイス所有者として管理されているデバイスでの証明書認証に使用できます。 SCEP 証明書は、Work Profile デバイスで既にサポートされています。 デバイス所有者の SCEP 証明書を使用すると、次のことができます。
  • Android Enterprise の [DO] セクションで SCEP プロファイルを作成する
  • SCEP 証明書を認証用の DO Wi-Fi プロファイルにリンクする
  • 認証のために SCEP 証明書を DO VPN プロファイルにリンクする
  • 認証用の DO Email プロファイルに SCEP 証明書をリンクする (AppConfig 経由)
• システム アプリは、Android Enterprise デバイスでサポートされています。 Intuneで、[クライアント アプリ] [アプリ>の追加] を選択して、Android Enterprise システム アプリ>を追加します。 [ アプリの種類 ] の一覧 で、[Android Enterprise システム アプリ] を選択します。 詳細については、「Android Enterprise システム アプリをMicrosoft Intuneに追加する」を参照してください。
• デバイス コンプライアンス>Android Enterprise>デバイス所有者では、Google SafetyNet 構成証明レベルを設定するコンプライアンス ポリシーを作成できます。
• Android Enterprise のフル マネージド デバイスでは、モバイル脅威防御プロバイダーがサポートされています。 [デバイス コンプライアンス>] [Android エンタープライズ>デバイス所有者] で、許容される脅威レベルを選択できます。 Intuneを使用してデバイスを準拠または非準拠としてマークする Android Enterprise 設定には、現在の設定が一覧表示されます。
• Android Enterprise のフル マネージド デバイスでは、Microsoft Launcher アプリをアプリ構成ポリシーを使用して構成し、フル マネージド デバイスで標準化されたエンド ユーザー エクスペリエンスを実現できるようになりました。 Microsoft Launcher アプリを使用して、Android デバイスをカスタマイズできます。 アプリを Microsoft アカウントまたは職場/学校アカウントと共に使用すると、個人用設定されたフィードで予定表、ドキュメント、最近のアクティビティにアクセスできます。

この更新プログラムにより、Android Enterprise フル マネージドIntuneサポートが一般公開されました。

適用対象:

• Android Enterprise のフル マネージド デバイス

1 つのデバイスにカスタム通知を送信する

1 つのデバイスを選択し、リモート デバイス アクションを使用して、 そのデバイスにのみカスタム通知を送信できるようになりました。

ユーザー登録を使用して登録されている iOS デバイスでは、[ワイプ] アクションと [パスコードのリセット] アクションを使用できません

ユーザー登録は、新しい種類の Apple デバイス登録です。 ユーザー登録を使用してデバイスを登録する場合、ワイプとパスコードリセットのリモートアクションはそのようなデバイスでは使用できません。

iOS 13 および macOS Catalina デバイスのIntuneサポート

Intuneでは、iOS 13 デバイスと macOS Catalina デバイスの両方の管理がサポートされるようになりました。 詳細については、iOS 13 および iPadOS のMicrosoft Intuneサポートに関するブログ記事を参照してください。

iPadOS および iOS 13.1 デバイスのIntuneサポート

Intuneでは、iPadOS デバイスと iOS 13.1 デバイスの両方の管理がサポートされるようになりました。 詳細については、このブログ投稿を参照してください。

デバイスのセキュリティ

クライアント 駆動型の回復パスワードローテーションに対する BitLocker のサポート

Intune Endpoint Protection 設定を使用して、Windows バージョン 1909 以降を実行するデバイスで BitLocker のクライアント駆動型回復パスワード ローテーションを構成します。

この設定は、OS ドライブの回復 (bootmgr または WinRE を使用) と固定データ ドライブでの回復パスワードのロック解除後に、クライアント主導の回復パスワード更新を開始します。 この設定では、使用された特定の回復パスワードが更新され、ボリューム上の他の未使用のパスワードは変更されません。 詳細については、 ConfigureRecoveryPasswordRotation の BitLocker CSP ドキュメントを参照してください。

Windows Defender ウイルス対策の改ざん防止

Intuneを使用して、Windows Defender ウイルス対策の改ざん防止を管理します。 Windows 10 エンドポイント保護にデバイス構成プロファイルを使用する場合、Microsoft Defender セキュリティ センター グループに改ざん防止の設定が表示されます。 [改ざん防止] を [有効] に設定して、テンパー保護の制限を有効にしたり、[ 無効] を設定してオフにしたり、[デバイスの現在の構成をそのままにするように 構成されていない ] を設定したりできます。

改ざん防止の詳細については、Windows ドキュメントの「 改ざん防止によるセキュリティ設定の変更を防止 する」を参照してください。

Windows Defender ファイアウォールの詳細設定が一般公開されました

デバイス構成プロファイルの一部として構成するエンドポイント保護のWindows Defenderカスタム ファイアウォール規則は、パブリック プレビューから外れ、一般公開 (GA) されています。 これらの規則を使用して、アプリケーション、ネットワーク アドレス、およびポートへの受信と送信の動作を指定できます。 これらのルールは、パブリック プレビューとして 7 月にリリースされました。

監視とトラブルシューティング

Intuneユーザー インターフェイスの更新 – テナントの状態ダッシュボード

[テナントの状態] ダッシュボードのユーザー インターフェイスが、Azure ユーザー インターフェイスのスタイルに合わせて更新されました。 詳細については、「テナントの 状態」を参照してください。

役割ベースのアクセス制御

スコープ タグで使用条件ポリシーがサポートされるようになりました

スコープ タグを利用規約ポリシーに割り当てることができるようになりました。 これを行うには、Intune>[デバイス登録>の使用条件>] に移動し、[プロパティ>] [スコープ] タグでスコープ タグ>を選択します>。

2019 年 8 月

アプリ管理

デバイスの登録解除時の iOS アプリのアンインストール動作を制御する

管理者は、デバイスがユーザーまたはデバイス グループ レベルで登録解除されたときに、アプリを削除するか、デバイスに保持するかを管理できます。

ビジネス向け Microsoft Store アプリを分類する

アプリビジネス向け Microsoft Store分類できます。 これを行うには、[Intune>Client apps Apps>ビジネス向け Microsoft Store> アプリ>情報>カテゴリを選択します。 ドロップダウン メニューで、カテゴリを割り当てます。

Microsoft Intune アプリ ユーザー向けのカスタマイズされた通知

Android 用の Microsoft Intune アプリでは、カスタム プッシュ通知の表示がサポートされるようになりました。これは、iOS および Android 用の ポータル サイト アプリで最近追加されたサポートに合わせて調整されています。 詳細は、「Intune でカスタム通知を送信する」を参照してください。

デバイス構成

Windows 10 以降の管理テンプレートを使用して Microsoft Edge 設定を構成する

Windows 10以降のデバイスでは、管理用テンプレートを作成して、Intuneでグループ ポリシー設定を構成できます。 この更新プログラムでは、Microsoft Edge バージョン 77 以降に適用される設定を構成できます。

管理用テンプレートの詳細については、「Windows 10 テンプレートを使用してIntuneでグループ ポリシー設定を構成する」を参照してください。

適用対象:

• Windows 10 以降 (Windows RS4 以降)

マルチアプリ モードでの Android Enterprise 専用デバイスの新機能

Intuneでは、Android Enterprise 専用デバイス (デバイス>構成>Create Android Enterprise for platform >Device Owner のみ、>プロファイルの種類のデバイス制限) でキオスク スタイルのエクスペリエンスの機能と設定を制御できます。

この更新プログラムでは、次の機能が追加されています。

• 専用デバイス>マルチアプリ: 仮想ホーム ボタン は、デバイス上でスワイプするか、画面に浮動してユーザーが移動できるようにすることで表示できます。
• 専用デバイス>マルチアプリ: 懐中電灯アクセス は、ユーザーが懐中電灯を使用することができます。
• 専用デバイス>マルチアプリ: メディア ボリューム コントロール を使用すると、ユーザーはスライダーを使用してデバイスのメディア ボリュームを制御できます。
• 専用デバイス>マルチアプリ: スクリーンセーバーを有効にし、カスタムイメージをアップロードし、スクリーンセーバーが表示されるタイミングを制御します。

現在の設定を確認するには、Android Enterprise デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• Android Enterprise 専用デバイス

Android Enterprise フル マネージド デバイスの新しいアプリと構成プロファイル

プロファイルを使用して、ANDROID Enterprise デバイス所有者 (フル マネージド) デバイスに VPN、電子メール、Wi-Fi 設定を適用する設定を構成できます。 この更新プログラムでは、次のことができます。

• アプリ構成ポリシーを使用して、Outlook、Gmail、Nine Work のメール設定を展開します。
• デバイス構成プロファイルを使用して 、信頼されたルート証明書の設定を展開します。
• デバイス構成プロファイルを使用して 、VPN と Wi-Fi の設定を展開します。

重要

この機能により、ユーザーは VPN、Wi-Fi、および電子メール プロファイルのユーザー名とパスワードで認証されます。 現在、証明書ベースの認証は使用できません。

適用対象:

• Android Enterprise デバイス所有者 (フル マネージド)

ユーザーが macOS デバイスにサインインするときに開くアプリ、ファイル、ドキュメント、およびフォルダーを制御する

macOS デバイスで機能を有効にして構成できます (デバイス>構成>Create>macOS for platform プロファイル>の種類のデバイス機能)。

この更新プログラムでは、ユーザーが登録済みデバイスにサインインするときに開くアプリ、ファイル、ドキュメント、フォルダーを制御する新しい [ログイン項目] 設定があります。

現在の設定を確認するには、Intuneの macOS デバイス機能の設定に移動します。

適用対象:

• macOS

期限は、Windows Update リングの Engaged 再起動設定を置き換えます

最近の Windows サービスの変更に合わせて、IntuneのWindows 10更新リングで期限の設定がサポートされるようになりました。 期限は、 デバイスが機能更新プログラムとセキュリティ更新プログラムをインストールするタイミングを決定します。 1903 以降Windows 10実行されているデバイスでは、期限は、有効な再起動の構成よりも優先されます。 将来的には、以前のバージョンのWindows 10でも、期限が有効な再起動よりも優先されます。

期限を構成しない場合、デバイスは引き続き有効な再起動設定を使用しますが、Intuneは、今後の更新プログラムで有効な再起動設定のサポートを非推奨にします。

すべてのWindows 10デバイスの期限を使用することを計画します。 期限の設定が完了したら、エンゲージされた再起動のIntune構成を [未構成] に変更できます。 [未構成] に設定すると、Intuneはデバイスでの設定の管理を停止しますが、デバイスから設定の最後の構成は削除されません。 したがって、エンゲージされた再起動に設定された最後の構成は、Intune以外の方法で設定が変更されるまで、デバイスでアクティブであり、使用中のままです。 その後、デバイスのバージョンの Windows が変更されたとき、または期限Intuneサポートがデバイスの Windows バージョンに拡張されると、デバイスは新しい設定の使用を開始します。これは既に設定されています。

複数のMicrosoft Intune証明書コネクタのサポート

Intuneでは、PKCS 操作用の複数のMicrosoft Intune証明書コネクタのインストールと使用がサポートされるようになりました。 この変更により、コネクタの負荷分散と高可用性がサポートされます。 各コネクタ インスタンスは、Intuneからの証明書要求を処理できます。 1 つのコネクタが使用できない場合、他のコネクタは引き続き要求を処理します。

複数のコネクタを使用するには、最新バージョンのコネクタ ソフトウェアにアップグレードする必要はありません。

iOS および macOS デバイスの機能を制限するための新しい設定と既存の設定の変更

プロファイルを作成して、iOS と macOS を実行しているデバイスの設定を制限できます (デバイス>の構成>Create>iOS または macOS のプラットフォームの種類>のデバイスの制限)。 この更新プログラムには、次の機能が含まれています。

• macOS>デバイスの>制限クラウドとストレージでは、新しいハンドオフ設定を使用して、ユーザーが 1 つの macOS デバイスで作業を開始するのをブロックし、別の macOS または iOS デバイスで作業を続けます。

  現在の設定を表示するには、macOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

• iOS>デバイスの制限には、いくつかの変更があります。

  • 組み込みのアプリ>iPhone を見つける (監視モードのみ): アプリの検索機能でこの機能をブロックする新しい設定。
  • 組み込みのアプリ>フレンドの検索 (監視のみ): アプリの検索機能でこの機能をブロックする新しい設定。 ​
  • ワイヤレス>Wi-Fi 状態の変更 (監視のみ): ユーザーがデバイスで Wi-Fi をオンまたはオフにできないようにする新しい設定。
  • キーボードと辞書>QuickPath (監視のみ): QuickPath 機能をブロックする新しい設定。
  • クラウドとストレージ: アクティビティ継続 の名前が Handoff に変更されます。

  現在の設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• macOS 10.15 以降
• iOS 13 以降

教師なし iOS デバイスの制限の一部は、iOS 13.0 リリースでは監視専用になります

この更新プログラムでは、iOS 13.0 リリースの監視対象のみのデバイスに一部の設定が適用されます。 これらの設定が構成され、iOS 13.0 リリースより前の教師なしデバイスに割り当てられている場合、その設定は引き続きそれらの教師なしデバイスに適用されます。 また、デバイスが iOS 13.0 にアップグレードされた後も適用されます。 これらの制限は、バックアップおよび復元される教師なしデバイスで削除されます。

これには、以下の設定が含まれます。

• アプリ ストア、ドキュメント表示、ゲーム
  • アプリ ストア
  • 明示的な iTunes、音楽、ポッドキャスト、またはニュース コンテンツ
  • ゲーム センターのフレンドの追加
  • マルチプレイヤー ゲーム
• 組み込みアプリ
  • カメラ
    • FaceTime
  • Safari
    • オートフィル
• クラウドとストレージ
  • iCloud にバックアップする
  • iCloud ドキュメントの同期をブロックする
  • iCloud キーチェーンの同期をブロックする

現在の設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象:

• iOS 13.0 以降

macOS FileVault 暗号化のデバイスの状態が改善されました

macOS デバイスでの FileVault 暗号化に関するデバイス の状態メッセージ がいくつか更新されました。

レポートの一部のWindows Defenderウイルス対策スキャン設定に失敗状態が表示される

Intuneでは、Windows Defenderウイルス対策を使用して、Windows 10 デバイス (デバイス>の構成>Create Windows 10>以降でプロファイルの種類>に関するデバイス>制限をスキャンするポリシーを作成できますWindows Defenderウイルス対策)。 [毎日のクイック スキャンを実行する時間] と [レポートを実行するシステム スキャンの種類] には、実際に成功状態である場合に失敗した状態が表示されます。

この更新プログラムでは、この動作は修正されています。 そのため、[ 毎日のクイック スキャンを実行する時間 ] と [ 設定を実行するシステム スキャンの種類 ] には、スキャンが正常に完了した場合の成功状態が表示され、設定の適用に失敗した場合に失敗した状態が表示されます。

Windows Defenderウイルス対策設定の詳細については、「Windows 10 (以降の) デバイス設定」を参照して、Intuneを使用して機能を許可または制限します。

Zebra Technologies は、Android Enterprise デバイス上の OEMConfig でサポートされている OEM です

Intuneでは、デバイス構成プロファイルを作成し、OEMConfig (デバイス>構成>Create>プロファイルの種類のプラットフォーム >OEMConfig 用のAndroid enterprise) を使用して Android Enterprise デバイスに設定を適用できます。

この更新プログラムでは、Zebra Technologies は OEMConfig でサポートされているオリジナル機器メーカー (OEM) です。 OEMConfig の詳細については、「OEMConfig で Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise

デバイスの登録

既定のスコープ タグ

新しい組み込みの既定のスコープ タグを使用できるようになりました。 スコープ タグをサポートするすべてのタグ付けされていないIntune オブジェクトは、既定のスコープ タグに自動的に割り当てられます。 既定のスコープ タグは、現在の管理者エクスペリエンスとのパリティを維持するために、既存のすべてのロールの割り当てに追加されます。 既定のスコープ タグを持つオブジェクトIntune管理者に表示させたくない場合は、ロールの割り当てから既定のスコープ タグを削除します。 この機能は、Configuration Managerのセキュリティ スコープ機能に似ています。 詳細については、「 分散 IT に RBAC タグとスコープ タグを使用する」を参照してください。

Android 登録デバイス管理者のサポート

Android デバイス管理者登録オプションが Android 登録ページに追加されました (Intune>Device 登録Android 登録>)。 Android デバイス管理者は、すべてのテナントに対して引き続き既定で有効になります。 詳細については、「 Android デバイス管理者の登録」を参照してください。

セットアップ アシスタントで他の画面をスキップする

デバイス登録プログラム プロファイルを設定して、次のセットアップ アシスタント画面をスキップできます。

• iOS の場合
  • 外観モード
  • 文字入力および音声入力の言語
  • 優先する言語
  • デバイス間の移行
• macOS の場合
  • スクリーン タイム
  • タッチ ID の設定

セットアップ アシスタントのカスタマイズの詳細については、「iOS 用の Apple 登録プロファイルをCreateする」および「macOS 用の Apple 登録プロファイルをCreateする」を参照してください。

Autopilot デバイス CSV アップロード プロセスにユーザー列を追加する

Autopilot デバイスの CSV アップロードにユーザー列を追加できるようになりました。 この機能を使用すると、CSV をインポートするときにユーザーを一括で割り当てることができます。 詳細については、「Windows Autopilot を使用してIntuneに Windows デバイスを登録する」を参照してください。

デバイス管理

デバイスの自動クリーンアップ時間制限を 30 日に設定する

自動デバイスのクリーン時間制限は、前回のサインイン後 30 日 (以前の制限の 90 日ではなく) に設定できます。 これを行うには、Intune>Devices>セットアップ>デバイスクリーンアップルールに移動します。

Android デバイスの [ハードウェア] ページに含まれるビルド番号

各 Android デバイスの [ハードウェア] ページの新しいエントリには、デバイスのオペレーティング システムのビルド番号が含まれています。 詳細については、「Intuneでデバイスの詳細を表示する」を参照してください。

2019 年 7 月

アプリ管理

ユーザーとグループのカスタマイズされた通知

ポータル サイト アプリケーションから、Intuneで管理する iOS および Android デバイス上のユーザーにカスタム プッシュ通知を送信します。 これらのモバイルプッシュ通知は、自由なテキストで高度にカスタマイズ可能であり、任意の目的のために使用することができます。 organization内の別のユーザー グループを対象にすることができます。 詳細については、「 カスタム通知」を参照してください。

Google のデバイス ポリシー コントローラー アプリ

マネージド ホーム スクリーン アプリから Google の Android デバイス ポリシー アプリにアクセスできるようになりました。 マネージド ホーム スクリーン アプリは、マルチアプリ キオスク モードを使用して android Enterprise (AE) 専用デバイスとしてIntuneに登録されているデバイスに使用されるカスタム起動ツールです。 Android デバイス ポリシー アプリにアクセスしたり、Android デバイス ポリシー アプリにユーザーを誘導したりして、サポートとデバッグを行うことができます。 この起動機能は、デバイスがマネージド ホーム スクリーンに登録してロックした時点で使用できます。 この機能を使用するために他のインストールは必要ありません。

iOS および Android デバイスの Outlook 保護設定

これで、デバイス登録なしで簡単なIntune管理コントロールを使用して、Outlook for iOS と Android の一般的なアプリとデータ保護の両方の構成設定を構成できるようになりました。 一般的なアプリ構成設定は、登録されているデバイスで Outlook for iOS と Android を管理するときに管理者が有効にできる設定とパリティを提供します。 Outlook の設定の詳細については、「 Outlook for iOS および Android アプリの構成設定の展開」を参照してください。

マネージド ホーム スクリーンと管理設定のアイコン

マネージド ホーム スクリーン アプリ アイコンと [管理設定] アイコンが更新されました。 マネージド ホーム スクリーン アプリは、Intuneに Android Enterprise (AE) 専用デバイスとして登録され、マルチアプリ キオスク モードで実行されているデバイスでのみ使用されます。 マネージド ホーム スクリーン アプリの詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

Android Enterprise 専用デバイスの Android デバイス ポリシー

Android デバイス ポリシー アプリケーションには、マネージド ホーム スクリーン アプリのデバッグ画面からアクセスできます。 マネージド ホーム スクリーン アプリは、Intuneに Android Enterprise (AE) 専用デバイスとして登録され、マルチアプリ キオスク モードで実行されているデバイスでのみ使用されます。 詳細については、「Android Enterprise 用の Microsoft マネージド ホーム スクリーン アプリを構成する」を参照してください。

iOS ポータル サイト更新プログラム

iOS アプリ管理プロンプトの会社名は、現在の "i.manage.microsoft.com" テキストに置き換えられます。 たとえば、ユーザーがポータル サイトから iOS アプリをインストールしようとしたときや、ユーザーがアプリの管理を許可した場合、ユーザーには "i.manage.microsoft.com" ではなく会社名が表示されます。 この機能は、今後数日間にわたってすべての顧客にロールアウトされます。

Android Enterprise デバイス上のMicrosoft Entra IDと APP

フル マネージドの Android Enterprise デバイスをオンボードすると、ユーザーは新しいデバイスまたは出荷時のリセット デバイスの初期セットアップ中にMicrosoft Entra IDに登録されるようになります。 以前は、フル マネージド デバイスの場合、セットアップが完了した後、ユーザーはMicrosoft Intune アプリを手動で起動してMicrosoft Entra登録を開始する必要がありました。 ユーザーが初期セットアップ後にデバイスのホーム ページに移動すると、デバイスが登録され、登録されます。

Microsoft Entra ID更新プログラムに加えて、Intuneアプリ保護ポリシー (APP) がフル マネージド Android Enterprise デバイスでサポートされるようになりました。 この機能は、ロールアウト時に使用できるようになります。詳細については、「Intuneを使用して Android Enterprise デバイスにマネージド Google Play アプリを追加する」を参照してください。

デバイス構成

Windows 10デバイス構成プロファイルを作成するときに "適用規則" を使用する

Windows 10デバイス構成プロファイル (デバイス>構成>Create>Windows 10プラットフォーム>の適用規則) を作成します。 この更新プログラムでは、プロファイルが特定のエディションまたは特定のバージョンにのみ適用されるように 、適用規則 を作成できます。 たとえば、一部の BitLocker 設定を有効にするプロファイルを作成します。 プロファイルを追加したら、適用規則を使用して、プロファイルがWindows 10 Enterprise実行されているデバイスにのみ適用されるようにします。

適用性ルールを追加するには、「適用 性ルール」を参照してください。

適用対象: Windows 10以降

トークンを使用して、iOS デバイスと macOS デバイスのカスタム プロファイルにデバイス固有の情報を追加する

iOS および macOS デバイスでカスタム プロファイルを使用して、Intuneに組み込まれていない設定と機能を構成できます (デバイス>の構成>Create>iOS または macOS for platform >Custom for profile type)。 この更新プログラムでは、ファイルにトークンを追加して .mobileconfig 、デバイス固有の情報を追加できます。 たとえば、デバイスのシリアル番号を表示するために構成ファイルにを追加 Serial Number: {{serialnumber}} できます。

カスタム プロファイルを作成するには、「 iOS カスタム設定 」または 「macOS カスタム設定」を参照してください。

適用対象:

• iOS
• macOS

Android Enterprise 用の OEMConfig プロファイルを作成するときの新しい構成デザイナー

Intuneでは、OEMConfig アプリを使用するデバイス構成プロファイルを作成できます (デバイス構成>プロファイル Createプロファイル > Android enterprise for platform OEMConfig for profile >> type)。 プロファイルを作成すると、JSON エディターが開き、テンプレートと値を変更できます。

この更新プログラムには、タイトル、説明など、アプリに埋め込まれた詳細を表示するユーザー エクスペリエンスが向上した構成Designerが含まれています。 JSON エディターは引き続き使用でき、[構成] Designerで行った変更が表示されます。

現在の設定を確認するには、「 OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象: Android Enterprise

Windows Helloを構成するための UI を更新しました

Windows Hello for Businessを使用するようにIntuneを構成するコンソールが更新されました。 すべての構成設定が、Windows Helloのサポートを有効にするコンソールの同じペインで使用できるようになりました。

PowerShell SDK のIntune

Microsoft Graph を通じてIntune API をサポートする Intune PowerShell SDK がバージョン 6.1907.1.0 に更新されました。

SDK では、次がサポートされるようになりました。

• Azure Automationで動作します。
• アプリのみの認証読み取り操作をサポートします。
• エイリアスとしてフレンドリ短縮名をサポートします。
• PowerShell の名前付け規則に準拠しています。 具体的には、 PSCredential (コマンドレットの) パラメーターの Connect-MSGraph 名前が に Credential変更されました。
• コマンドレットを使用する場合のヘッダーの値の Content-Type 手動指定を Invoke-MSGraphRequest サポートします。

詳細については、「PowerShell SDK for Microsoft Intune Graph API」を参照してください。

macOS 用 FileVault を管理する

Intuneを使用して、macOS デバイスの FileVault キー暗号化を管理できます。 デバイスを暗号化するには、エンドポイント保護デバイス構成プロファイルを使用します。

FileVault のサポートには、次のものが含まれます。

• 暗号化されていないデバイスの暗号化
• デバイスの個人用回復キーのエスクロー
• 個人暗号化キーの自動または手動ローテーション
• 会社のデバイスのキー取得

エンド ユーザーは、ポータル サイト Web サイトを使用して、暗号化されたデバイスの個人用回復キーを取得することもできます。

また、暗号化レポートを拡張して、BitLocker の FileVault に関する情報 と共に情報を含め、すべてのデバイス暗号化の詳細を 1 か所で表示できるようにしました。

管理用テンプレートの新しい Office、Windows、OneDrive の設定Windows 10

Intuneで、オンプレミスのグループ ポリシー管理 (デバイス>構成>Create Windows 10>以降のプラットフォーム>のプロファイルの種類の管理テンプレート) を模倣する管理用テンプレートを作成できます。

この更新プログラムには、テンプレートに追加できる Office、Windows、OneDrive の設定がさらに含まれています。 これらの新しい設定を使用すると、100% クラウドベースの 2500 を超える設定を構成できるようになりました。

この機能の詳細については、「Windows 10 テンプレートを使用してIntuneでグループ ポリシー設定を構成する」を参照してください。

適用対象: Windows 10以降

デバイスの登録

登録制限のUpdates

Android Enterprise の仕事用プロファイルが既定で許可されるように、新しいテナントの登録制限が更新されました。 既存のテナントには変更はありません。 Android Enterprise 仕事用プロファイルを使用するには、引き続き Intune アカウントをマネージド Google Play アカウントに接続する必要があります。

Apple 登録と登録の制限に関する UI 更新プログラム

次のどちらのプロセスでも、ウィザード スタイルのユーザー インターフェイスが使用されます。

• Apple デバイス登録。 詳細については、「Apple の デバイス登録プログラムを使用して iOS デバイスを自動的に登録する」を参照してください。
• 登録制限の作成。 詳細は、「登録制限を設定する」を参照してください。

Android Q デバイスの企業デバイス識別子の事前構成の処理

Android Q (v10) では、レガシマネージド (デバイス管理者) Android デバイスの MDM エージェントがデバイス識別子情報を収集する機能が削除されます。 管理者は、これらのデバイスを会社所有として自動的にタグ付けするデバイス シリアル番号または IME の一覧を事前に構成 できます。 この機能は、デバイス管理者が管理する Android Q デバイスでは機能しません。 デバイスのシリアル番号または IMEI がアップロードされているかどうかに関係なく、Intune登録中は常に個人用と見なされます。 登録後に所有権を会社に手動で切り替えることができます。 この動作は新しい登録にのみ影響し、既存の登録済みデバイスは影響を受けません。 この変更は、仕事用プロファイルで管理されている Android デバイスには影響せず、現在と同様に動作し続けます。 また、デバイス管理者として登録されている Android Q デバイスは、Intune コンソールのシリアル番号または IMEI をデバイスのプロパティとして報告できなくなります。

Android Enterprise 登録 (仕事用プロファイル、専用デバイス、フル マネージド デバイス) のアイコンが変更されました

Android Enterprise 登録プロファイルのアイコンが変更されました。 新しいアイコンを表示するには、[登録プロファイル] のIntune> [Android 登録>の>確認] に移動します。

Windows 診断データ収集の変更

Windows 10 バージョン 1903 以降を実行しているデバイスの診断データ収集の既定値が変更されました。 Windows 10 1903 以降では、診断データ収集は既定で有効になっています。 Windows 診断データは、デバイスと Windows および関連ソフトウェアの動作に関する Windows デバイスからの重要な技術データです。 詳細については、「organizationで Windows 診断データを構成する」を参照してください。 Autopilot デバイスは、 System/AllowTelemetry を使用して Autopilot プロファイルで特に設定されていない限り、"Full" テレメトリにもオプトインされます。

Windows Autopilot リセットは、デバイスのプライマリ ユーザーを削除します

AutoPilot リセットがデバイスで使用されると、デバイスのプライマリ ユーザーが削除されます。 リセット後に初めてサインインしたユーザーがプライマリ ユーザーとして設定されます。 この機能は、今後数日間、すべての顧客にロールアウトされます。

デバイス管理

デバイスの場所を改善する

[ デバイスの検索 ] アクションを使用して、デバイスの正確な座標を拡大できます。 紛失した iOS デバイスの検索の詳細については、「 紛失した iOS デバイスを検索する」を参照してください。

デバイスのセキュリティ

Windows Defender ファイアウォールの詳細設定 (パブリック プレビュー)

Intuneを使用して、Windows 10のエンドポイント保護用のデバイス構成プロファイルの一部としてカスタム ファイアウォール規則を管理します。 規則では、アプリケーション、ネットワーク アドレス、およびポートに対する受信と送信の動作を指定できます。

セキュリティ ベースラインを管理するための UI を更新しました

セキュリティ ベースラインのIntune コンソールの作成と編集のエクスペリエンスが更新されました。 変更内容には、次のものが含まれます。

1 つのブレードに圧縮された、よりシンプルなウィザード スタイルの形式。 1 つのブレード内。 この新しい設計では、IT 担当者が複数の個別のペインにドリルダウンする必要があるブレードのスプロールが不要になります。
後でベースラインを割り当てる必要なく、作成および編集エクスペリエンスの一部として割り当てを作成できるようになりました。 新しいベースラインを作成する前と、既存のベースラインを編集する前に表示できる設定の概要が追加されました。 編集時に、サマリーには、編集中のプロパティの 1 つのカテゴリ内で設定された項目の一覧のみが表示されます。

2019 年 6 月

アプリ管理

organization データへのリンクを許可するブラウザーを構成する

Android および iOS デバイス上のアプリ保護ポリシー (APP) Intune、組織の Web リンクを、Intune Managed Browserまたは Microsoft Edge 以外の特定のブラウザーに転送できるようになりました。 APP の詳細については、「 アプリ保護ポリシーとは」を参照してください。

[すべてのアプリ] ページで、オンライン/オフラインのビジネス向け Microsoft Storeアプリが識別されます

[すべてのアプリ] ページに、ビジネス向け Microsoft Store (MSFB) アプリをオンラインアプリまたはオフライン アプリとして識別するためのラベル付けが含まれるようになりました。 各 MSFB アプリに 、オンライン または オフラインのサフィックスが含まれるようになりました。 アプリの詳細ページには、 ライセンスの種類 と デバイス コンテキストのインストール (オフライン ライセンスアプリのみ) 情報も含まれています。

Windows 共有デバイス上のアプリをポータル サイトする

ユーザーは、Windows 共有デバイス上のポータル サイト アプリにアクセスできるようになりました。 エンド ユーザーには、デバイス タイルに [共有 ] ラベルが表示されます。 この機能は、Windows ポータル サイト アプリ バージョン 10.3.45609.0 以降に適用されます。

新しいポータル サイト Web ページにインストールされたすべてのアプリが表示

ポータル サイト Web サイトの新しい [インストール済みアプリ] ページに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されます。 割り当ての種類だけでなく、アプリの発行元、発行日、現在のインストール状態も表示されます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、会社アプリがインストールされていないというメッセージが表示されます。 Web 上の新しいページを表示するには、ポータル サイト Web サイトに移動し、[インストール済みアプリ] を選択します。

新しいビューでデバイスにインストールされているすべてのマネージド アプリが表示可能に

Windows 用ポータル サイトのアプリに、ユーザーのデバイスにインストールされているすべてのマネージド アプリ (必須および使用可能の両方) が一覧表示されるようになりました。 ユーザーは、試行した、および保留中のアプリのインストールと、それらの現在の状態も確認できます。 ユーザーに対して必須または使用可能とされているアプリがない場合は、アプリがインストールされていないというメッセージが表示されます。 新しいビューを表示するには、ポータル サイトのナビゲーション ウィンドウに移動し、[アプリ]>[インストール済みアプリ] の順に選択します。

Microsoft Intune アプリの新機能

Android 用 Microsoft Intune アプリ (プレビュー) に新機能が追加されました。 フル マネージド Android デバイスのユーザーは次のことが可能になりました。

• Intune ポータル サイトまたは Microsoft Intune のアプリを介して登録したデバイスを表示して管理する。
• サポートが必要な場合はお客様の組織に問い合わせてください。
• Microsoft にフィードバックを送信する。
• 組織で設定されている場合は、使用条件を表示する。

GitHub Intune SDK 統合を示す新しいサンプル アプリ

msintuneappsdk GitHub アカウントには、iOS (Swift)、Android、Xamarin.iOS、Xamarin Forms、Xamarin.Android 用の新しいサンプル アプリケーションが追加されました。 これらのアプリは、既存のドキュメントを補足し、Intune APP SDK を独自のモバイル アプリに統合する方法のデモンストレーションを提供することを目的としています。 より多くのIntune SDK ガイダンスが必要なアプリ開発者の場合は、次のリンクされたサンプルを参照してください。

• Chatr - ブローカー認証に Azure Active Directory 認証ライブラリ (ADAL) を使用するネイティブ iOS (Swift) インスタント メッセージング アプリ。
• Taskr - ブローカー認証に ADAL を使用するネイティブ Android todo リスト アプリ。
• Taskr - ブローカー認証に ADAL を使用する Xamarin.Android todo リスト アプリで、このリポジトリには Xamarin もあります。Forms アプリ。
• Xamarin.iOS サンプル アプリ - ベアボーン Xamarin.iOS サンプル アプリ。

デバイス構成

macOS デバイスでカーネル拡張機能の設定を構成する

macOS デバイスでは、デバイス構成プロファイルを作成できます (デバイス>構成>Create>プラットフォーム用の macOS を選択します)。 この更新プログラムには、デバイスでカーネル拡張機能を構成して使用できる新しい設定グループが含まれています。 特定の拡張機能を追加することも、特定のパートナーまたは開発者のすべての拡張機能を許可することもできます。

この機能の詳細については、 カーネル拡張機能の概要 と カーネル拡張機能の設定に関するページを参照してください。

適用対象: macOS 10.13.2 以降

ストアからのアプリのみWindows 10デバイスの設定には、より多くの構成オプションが含まれています

Windows デバイスのデバイス制限プロファイルを作成する場合は、[ストアからのアプリのみ] 設定を使用して、ユーザーが Windows App Store (デバイス>の構成>Create Windows 10>以降のアプリのみをインストールするように設定できます。プロファイルの種類に関するデバイス>制限)。 この更新プログラムでは、この設定が拡張され、より多くのオプションがサポートされます。

新しい設定を表示するには、Windows 10 (以降) のデバイス設定に移動して、機能を許可または制限します。

適用対象: Windows 10以降

デバイス、同じユーザー グループ、または同じデバイス グループに複数の Zebra モビリティ拡張機能デバイス プロファイルをデプロイする

Intuneでは、デバイス構成プロファイルで Zebra モビリティ拡張機能 (MX) を使用して、Intuneに組み込まれていない Zebra デバイスの設定をカスタマイズできます。 現時点では、1 つのデバイスに 1 つのプロファイルをデプロイできます。 この更新プログラムでは、複数のプロファイルを次の対象に展開できます。

• 同じユーザー グループ
• 同じデバイス グループ
• 1 つのデバイス

Microsoft Intuneで Zebra Mobility Extensions を使用して Zebra デバイスを使用および管理し、Intuneで MX を使用する方法を示します。

適用対象: Android

iOS デバイスの一部のキオスク設定は、"ブロック" を使用して設定され、"許可" を置き換えます

iOS デバイスにデバイス制限プロファイルを作成する場合 (>プラットフォーム>のデバイスの構成>Create>iOS プロファイルの種類>キオスクのデバイス制限)、自動ロック、リンガー スイッチ、画面の回転、画面のスリープ ボタン、音量ボタンを設定します。

この更新プログラムでは、値は [ブロック ] (機能をブロック) と [未構成 ] (機能を許可) です。 設定を表示するには、 iOS デバイスの設定に移動して機能を許可または制限します。

適用対象: iOS

iOS デバイスでパスワード認証に Face ID を使用する

iOS デバイスのデバイス制限プロファイルを作成する場合は、パスワードに指紋を使用できます。 この更新プログラムでは、指紋パスワードの設定により、顔認識も許可されます (プラットフォーム>のデバイス>構成>Create>iOS プロファイルの種類>のデバイスの制限パスワード)。 その結果、次の設定が変更されました。

• 指紋ロック解除 が タッチ ID と顔 ID のロック解除になりました。
• 指紋の変更 (監視のみ) が Touch ID と Face ID の変更 (監視のみ) になりました。

顔 ID は iOS 11.0 以降で使用できます。 設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: iOS

iOS デバイスでのゲームとアプリ ストアの機能の制限がレーティングリージョンに依存するようになりました

iOS デバイスでは、ゲーム、アプリ ストア、およびドキュメントの表示に関連する機能を許可または制限できます (プラットフォーム>のデバイス>構成>Create>iOS プロファイルの種類>App Storeのデバイス制限、ドキュメントの表示、ゲーム)。 米国などの [レーティング] リージョンを選択することもできます。

この更新プログラムでは、 アプリ 機能は レーティング リージョンに子に移動され、 レーティング リージョンに依存します。 設定を表示するには、iOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: iOS

デバイスの登録

Microsoft Entra ハイブリッド参加に対する Windows Autopilot のサポート

既存デバイス向け Windows Autopilotでは、ハイブリッド結合Microsoft Entraサポートされるようになりました (既存のMicrosoft Entra参加サポートに加えて)。 バージョン 1809 以降Windows 10デバイスに適用されます。 詳細については、「既存デバイス向け Windows Autopilot」を参照してください。

デバイス管理

Android デバイスのセキュリティ パッチ レベルを確認する

Android デバイスのセキュリティ パッチ レベルを確認できるようになりました。 これを行うには、[Intune>][デバイス][すべてのデバイス>] の順に>選択し、デバイスハードウェアを選択します。> パッチ レベルは、[ オペレーティング システム ] セクションに一覧表示されます。

セキュリティ グループ内のすべてのマネージド デバイスにスコープ タグを割り当てる

これで、スコープ タグをセキュリティ グループに割り当てることができ、セキュリティ グループ内のすべてのデバイスもそれらのスコープ タグに関連付けられます。 これらのグループ内のすべてのデバイスにもスコープ タグが割り当てられます。 この機能で設定されたスコープ タグは、現在のデバイス スコープ タグ フローで設定されたスコープ タグを上書きします。 詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

デバイスのセキュリティ

セキュリティ ベースラインでキーワード (keyword)検索を使用する

セキュリティ ベースライン プロファイルを作成または編集するときに、新しいSearch バーでキーワードを指定できます。 検索バーは、検索条件を含む設定の使用可能なグループをフィルター処理します。

セキュリティ ベースライン機能が一般公開されました

セキュリティ ベースライン機能はプレビュー段階から外れ、一般公開 (GA) になりました。 GA は、この機能が運用環境で使用できる状態であることを意味します。 ただし、個々のベースライン テンプレートはプレビューのままであり、独自のスケジュールで評価され、GA にリリースされます。

MDM セキュリティ ベースライン テンプレートが一般公開されました

MDM セキュリティ ベースライン テンプレートがプレビューから移行され、一般公開 (GA) になりました。 GA テンプレートは、 2019 年 5 月の MDM セキュリティ ベースラインとして識別されます。 この機能は新しいテンプレートであり、プレビュー バージョンからのアップグレードではありません。 新しいテンプレートとして、 含まれている設定を確認し、新しいプロファイルを作成してテンプレートをデバイスにデプロイする必要があります。 その他のセキュリティ ベースライン テンプレートはプレビューのままです。 使用可能なベースラインの一覧については、「 使用可能なセキュリティ ベースライン」を参照してください。

新しいテンプレートであることに加えて、 2019 年 5 月の MDM セキュリティ ベースライン テンプレートには、開発中の記事で最近発表した 2 つの設定が含まれています。

• ロックの上: ロックされた画面から音声でアプリをアクティブ化する
• DeviceGuard: デバイスの次回の再起動時に仮想化ベースのセキュリティ (VBS) を使用します。

2019 年 5 月の MDM セキュリティ ベースラインには、いくつかの新しい設定の追加、他の設定の削除、1 つの設定の既定値のリビジョンも含まれています。 プレビューから GA への変更の詳細な一覧については、「 新しいテンプレートの変更点」を参照してください。

セキュリティ ベースラインのバージョン管理

Intuneサポートのバージョン管理のセキュリティ ベースライン。 このサポートにより、各セキュリティ ベースラインの新しいバージョンがリリースされると、新しいベースラインをゼロから再作成してデプロイすることなく、新しいベースライン バージョンを使用するように既存のセキュリティ ベースライン プロファイルを更新できます。

また、各ベースラインに関する情報を表示することもできます。 ベースラインを使用する個々のプロファイルの数、プロファイルが使用する異なるベースライン バージョンの数、および特定のセキュリティ ベースラインの最新リリースがいつだったかを確認できます。 詳細については、セキュリティ ベースラインに関する記事を参照してください。

[サインインにセキュリティ キーを使用する] 設定が移動しました

[サインインにセキュリティ キーを使用する] という名前の ID 保護のデバイス構成設定が、[Windows Hello for Businessの構成] のサブ設定として見つかりませんでした。 Windows Hello for Businessの使用を有効にしない場合でも、常に使用できる最上位の設定になりました。 詳細については、「 ID 保護」を参照してください。

役割ベースのアクセス制御

割り当てられたグループ管理者の新しいアクセス許可

Intuneの組み込みの学校管理者ロールに、Managed Apps の作成、読み取り、更新、削除 (CRUD) アクセス許可が付与されるようになりました。 Intune for Education でグループ管理者として割り当てられている場合は、iOS MDM プッシュ証明書、iOS MDM サーバー トークン、iOS VPP トークン、および既存のすべてのアクセス許可を作成、表示、更新、削除できるようになりました。 これらの操作のいずれかを実行するには、[テナント設定>] [iOS デバイス管理] に移動します。

アプリケーションは、Graph APIを使用して、ユーザー資格情報なしで読み取り操作を呼び出すことができます

アプリケーションは、ユーザー資格情報なしでアプリ ID を使用Intune Graph API読み取り操作を呼び出すことができます。 Intune用の Microsoft Graph APIへのアクセスの詳細については、「Microsoft Graph でのIntuneの操作」を参照してください。

ビジネス向け Microsoft Store アプリにスコープ タグを適用する

スコープ タグをビジネス向け Microsoft Storeアプリに適用できるようになりました。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

2019 年 5 月

アプリ管理

Android デバイスで有害な可能性があるアプリのレポート

Intuneでは、Android デバイス上の有害な可能性のあるアプリに関するより多くのレポート情報が提供されるようになりました。

Windows ポータル サイト アプリ

Windows ポータル サイト アプリに、[デバイス] というラベルが付いた新しいページが表示されます。 [ デバイス] ページには、登録されているすべてのデバイスのエンド ユーザーが表示されます。 ユーザーは、バージョン 10.3.4291.0 以降を使用すると、ポータル サイトでこの変更が表示されます。 ポータル サイトの構成の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Intune ポリシーによって認証方法とアプリのインストールが更新ポータル サイト

Apple の会社のデバイス登録方法のいずれかを使用してセットアップ アシスタントを使用して既に登録されているデバイスでは、アプリがアプリ ストアから手動でインストールされている場合、Intuneはポータル サイトをサポートしていません。 この変更は、登録中に Apple Setup Assistant で認証を行う場合にのみ関連します。 この変更は、次の方法で登録された iOS デバイスにのみ影響します。

• Apple configurator
• Apple Business Manager
• Apple School Manager
• Apple Device Enrollment Program (DEP)

ユーザーがアプリ ストアからポータル サイト アプリをインストールし、それを介してこれらのデバイスを登録しようとすると、エラーが表示されます。 これらのデバイスは、登録中にIntuneによって自動的にプッシュされた場合にのみ、ポータル サイトを使用することが想定されます。 Azure portalのIntuneの登録プロファイルが更新され、デバイスの認証方法と、ポータル サイト アプリを受信するかどうかを指定できます。 DEP デバイス ユーザーにポータル サイトを設定する場合は、登録プロファイルでユーザー設定を指定する必要があります。

さらに、iOS ポータル サイトの [デバイスの識別] 画面が削除されています。 そのため、条件付きアクセスを有効にするか、会社のアプリを展開する管理者は、DEP 登録プロファイルを更新する必要があります。 この要件は、DEP 登録がセットアップ アシスタントで認証されている場合にのみ適用されます。 その場合は、デバイスにポータル サイトをプッシュする必要があります。 これを行うには、[デバイスの登録>] [Apple 登録>プログラム トークン>] のIntune> [プロファイル]> でプロファイル>を選択>し、[プロパティ>] [インストール] ポータル サイト を [はい] に設定します。

既に登録されている DEP デバイスにポータル サイトをインストールするには、Intune>クライアント アプリに移動し、アプリ構成ポリシーを使用してマネージド アプリとしてプッシュする必要があります。

エンド ユーザーがアプリ保護ポリシーを使用して基幹業務 (LOB) アプリを更新する方法を構成する

エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できるようになりました。 エンド ユーザーには、 アプリの最小バージョン の条件付き起動ダイアログにこの機能が表示されます。これにより、エンド ユーザーに LOB アプリの最小バージョンへの更新を求められます。 LOB アプリ保護ポリシー (APP) の一部として、これらの更新プログラムの詳細を指定する必要があります。 この機能は、iOS と Android で利用できます。 iOS では、この機能では、アプリを Intune SDK for iOS v. 10.0.7 以降と統合 (またはラッピング ツールを使用してラップ) する必要があります。 Android では、この機能には最新のポータル サイトが必要です。 エンド ユーザーが LOB アプリを更新する方法を構成するには、アプリにキー com.microsoft.intune.myappstoreを使用して送信されるマネージド アプリ構成ポリシーが必要です。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。

Intune管理拡張機能の PowerShell スクリプト

デバイスでユーザーの管理者特権を使用して実行するように PowerShell スクリプトを構成できます。 詳細については、「Intune および Win32 アプリ管理で Windows 10 デバイスで PowerShell スクリプトを使用する」を参照してください。

Android Enterprise アプリ管理

IT 管理者が Android Enterprise 管理を構成して使用しやすくするために、Intuneは、Intune 管理センターに 4 つの一般的な Android Enterprise 関連アプリを自動的に追加します。 4 つの Android Enterprise アプリは次のアプリです。

• Microsoft Intune - Android Enterprise のフル マネージド シナリオに使用されます。
• Microsoft Authenticator - 2 要素認証を使用する場合に、アカウントにサインインするのに役立ちます。
• Intune ポータル サイト - App Protection Policies (APP) と Android Enterprise の仕事用プロファイル シナリオに使用されます。
• マネージド ホーム スクリーン - Android Enterprise の専用/キオスク シナリオに使用されます。

以前は、IT 管理者は、セットアップの一環として 、マネージド Google Play ストア でこれらのアプリを手動で検索して承認する必要があります。 この変更により、以前に手動で行った手順が削除され、お客様が Android Enterprise 管理を簡単かつ迅速に使用できるようになります。

管理者は、最初に Intune テナントをマネージド Google Play に接続した時点で、これらの 4 つのアプリがIntune アプリの一覧に自動的に追加されます。 詳細については、「Intune アカウントをマネージド Google Play アカウントに接続する」を参照してください。 テナントを既に接続しているテナント、または Android Enterprise を既に使用しているテナントの場合、管理者は何もする必要はありません。 これらの 4 つのアプリは、2019 年 5 月のサービス ロールアウトが完了してから 7 日以内に自動的に表示されます。

デバイス構成

Microsoft Intune用の PFX 証明書コネクタを更新しました

Microsoft Intune用の PFX 証明書コネクタの更新プログラムがあります。 この更新プログラムは、既存の PFX 証明書が引き続き再処理され、コネクタが新しい要求の処理を停止する問題に対処します。

Defender for Endpoint のセキュリティ タスクをIntuneする (パブリック プレビュー)

パブリック プレビューでは、Intuneを使用して、Microsoft Defender for Endpointのセキュリティ タスクを管理できます。 Defender for Endpoint との統合により、検出から軽減までの時間を短縮しながら、エンドポイントの脆弱性と構成の誤りを検出、優先順位付け、修復するためのリスクベースのアプローチが追加されます。

Windows 10 デバイス コンプライアンス ポリシーで TPM チップセットを確認する

多くのWindows 10以降のデバイスには、トラステッド プラットフォーム モジュール (TPM) チップセットがあります。 この更新プログラムには、デバイス上の TPM チップのバージョンを確認する新しいコンプライアンス設定が含まれています。

Windows 10以降のコンプライアンス ポリシー設定では、この設定について説明します。

適用対象: Windows 10以降

エンド ユーザーが個人用 HotSpot を変更できないようにし、iOS デバイスで Siri サーバーのログ記録を無効にする

iOS デバイスにデバイス制限プロファイルを作成します (プラットフォーム>のデバイス>の構成>Create>iOS プロファイルの種類のデバイス制限)。 この更新プログラムには、構成できる新しい設定が含まれています。

• 組み込みのアプリ: Siri コマンドのサーバー側のログ記録
• ワイヤレス: 個人用ホットスポットのユーザー変更 (監視のみ)

これらの設定を確認するには、 iOS の組み込みのアプリ設定 と iOS のワイヤレス設定に移動します。

適用対象: iOS 12.2 以降

macOS デバイス用の新しいクラスルーム アプリ デバイス制限設定

macOS デバイスのデバイス構成プロファイル (>デバイス構成>Create>プラットフォーム>の macOS プロファイルの種類に関するデバイスの制限) を作成できます。 この更新プログラムには、新しいクラスルーム アプリの設定、スクリーンショットをブロックするオプション、iCloud フォト ライブラリを無効にするオプションが含まれています。

現在の設定を表示するには、macOS デバイスの設定に移動して、Intuneを使用して機能を許可または制限します。

適用対象: macOS

アプリ ストアにアクセスするための iOS パスワードの設定の名前が変更されました

[アプリ ストアにアクセスするためのパスワード] 設定の名前は、[すべての購入に iTunes ストアのパスワードを要求する ] に変更されます (プラットフォーム>のデバイス>の構成>Create>iOS プロファイルの種類>のデバイス制限アプリ ストア、ドキュメント表示、ゲーム)。

使用可能な設定を確認するには、[App Store]、[ドキュメント表示]、[ゲーム iOS 設定] の順に移動します。

適用対象: iOS

Microsoft Defender for Endpointベースライン (プレビュー)

Microsoft Defender for Endpoint設定のセキュリティ ベースライン プレビューが追加されました。 このベースラインは、環境がMicrosoft Defender for Endpointを使用するための前提条件を満たしている場合に使用できます。

iOS および Android デバイスの Outlook の署名と生体認証の設定

iOS および Android デバイスの Outlook で既定の署名を有効にするかどうかを指定できるようになりました。 また、ユーザーが Outlook on iOS で生体認証設定を変更できるようにすることもできます。

iOS デバイス用の F5 Access のネットワーク Access Control (NAC) のサポート

F5 は、Intuneで iOS 上の F5 Access の NAC 機能を許可する BIG-IP 13 の更新プログラムをリリースしました。 この機能を使用するには:

• BIG-IP を 13.1.1.5 更新に更新します。 BIG-IP 14 はサポートされていません。
• BIG-IP と NAC のIntuneを統合します。 「 概要: エンドポイント管理システムを使用したデバイスのポスチャ チェック用の APM の構成」の手順。
• Intuneの VPN プロファイルで [ネットワーク Access Control (NAC) を有効にする] 設定を確認します。

使用可能な設定を確認するには、[ iOS デバイスで VPN 設定を構成する] に移動します。

適用対象: iOS

Microsoft Intune用の PFX 証明書コネクタを更新しました

ポーリング間隔を 5 分から 30 秒に低下させる PFX Certificate Connector for Microsoft Intune の更新プログラムをリリースしました。

デバイスの登録

Autopilot デバイスの OrderID 属性名がグループ タグに変更されました

より直感的にするために、Autopilot デバイスの OrderID 属性名が グループ タグに変更されました。 CV を使用して Autopilot デバイス情報をアップロードする場合は、OrderID ではなく、列ヘッダーとしてグループ タグを使用する必要があります。

Windows 登録状態ページ (ESP) が一般公開されました

[登録の状態] ページのプレビューが終了しました。 詳細については、「 登録状態の設定」ページを参照してください。

ユーザー インターフェイスの更新Intune - Autopilot 登録プロファイルの作成

Autopilot 登録プロファイルを作成するためのユーザー インターフェイスが、Azure ユーザー インターフェイス のスタイルに合わせて更新されました。 詳細については、「Autopilot 登録プロファイルのCreate」を参照してください。 今後、より多くのIntuneシナリオがこの新しい UI スタイルに更新されます。

すべての Windows デバイスで Autopilot リセットを有効にする

Autopilot リセットが、登録状態ページを使用するように構成されていないデバイスであっても、すべての Windows デバイスで機能するようになりました。 初期デバイス登録中にデバイスの登録状態ページが構成されていない場合、デバイスはサインイン後にデスクトップに直接移動します。 同期に最大 8 時間かかる場合があり、Intuneで準拠しているように見えます。 詳細については、「 リモート Windows Autopilot Reset を使用してデバイスをリセットする」を参照してください。

すべてのデバイスを検索するときに正確な IMEI 形式は必要ありません

[すべてのデバイス] を検索するときに、IMEI 番号にスペースを含める必要はありません。

Apple ポータルでデバイスを削除すると、Intune ポータルに反映されます

Apple のデバイス登録プログラムまたは Apple Business Manager ポータルからデバイスが削除された場合、デバイスは次回の同期中にIntuneから自動的に削除されます。

[登録の状態] ページで Win32 アプリが追跡されるようになりました

この機能は、バージョン 1903 以降Windows 10実行されているデバイスにのみ適用されます。 詳細については、「 登録状態の設定」ページを参照してください。

デバイス管理

Graph APIを使用してデバイスを一括でリセットおよびワイプする

Graph APIを使用して、最大 100 台のデバイスを一括でリセットしてワイプできるようになりました。

監視とトラブルシューティング

暗号化レポートがパブリック プレビューから外れている

BitLocker とデバイス暗号化のレポートが一般公開され、パブリック プレビューの一部ではなくなりました。

2019 年 4 月

アプリ管理

iOS 用ポータル サイト アプリに関するユーザー エクスペリエンスの更新プログラム

iOS デバイス用ポータル サイト アプリのホーム ページが再設計されました。 この変更によって、ホーム ページでは iOS UI パターンにより適切に従うようになり、アプリと電子ブックの検出可用性も向上しました。

iOS 12 デバイス ユーザー用ポータル サイトの登録の変更

iOS 登録画面と手順のポータル サイトは、Apple iOS 12.2 でリリースされた MDM 登録の変更に合わせて更新されました。 更新されたワークフローでは、次のような場合にユーザーにメッセージが表示されます。

• Safari でポータル Web サイトを開き、ポータル サイト アプリに戻る前に管理プロファイルをダウンロードできるようにする。
• [設定] アプリを開き、デバイスに管理プロファイルをインストールする。
• ポータル サイト アプリに戻り、登録を完了する。

更新された登録の手順と画面については、Intune への iOS デバイスの登録に関するページを参照してください。

Android アプリ保護ポリシーの OpenSSL 暗号化

Android デバイス上のアプリ保護ポリシー (APP) Intune、FIPS 140-2 準拠の OpenSSL 暗号化ライブラリが使用されるようになりました。 詳細については、Microsoft Intuneの Android アプリ保護ポリシー設定の暗号化に関するセクションを参照してください。

Win32 アプリの依存関係を有効にする

管理者は、Win32 アプリをインストールする前に、他のアプリを依存関係としてインストールするように要求できます。 具体的には、デバイスが Win32 アプリをインストールする前に、依存アプリをインストールする必要があります。 Intuneで、[クライアント アプリ アプリ>の>追加] を選択して、[アプリの追加] ブレードを表示します。 [アプリの種類] として [Windows アプリ (Win32)] を選択 します。 アプリを追加したら、[ 依存関係 ] を選択して、Win32 アプリをインストールする前にインストールする必要がある依存アプリを追加できます。 詳細については、「スタンドアロン - Win32 アプリ管理Intune」を参照してください。

ビジネス向け Microsoft Store アプリのアプリ バージョンのインストール情報

アプリのインストール レポートには、ビジネス向け Microsoft Store アプリのアプリのバージョン情報が含まれます。 Intuneで、[クライアント アプリ アプリ>] を選択します。 ビジネス向け Microsoft Store アプリを選択し、[モニター] セクションの [デバイスのインストール状態] を選択します。

Win32 アプリの要件ルールへの追加

PowerShell スクリプト、レジストリ値、およびファイル システム情報に基づいて要件ルールを作成できます。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 次に、[アプリの追加] ブレードの [アプリの種類] として [Windows アプリ (Win32)] を選択します。 [ 要件>の追加] を選択して、その他の要件規則を構成します。 次に、要件 の種類として [ファイルの種類]、[ レジストリ]、[ スクリプト ] のいずれかを選択 します。 詳細については、「 Win32 アプリ管理」を参照してください。

参加済みデバイスに登録Intune Win32 アプリMicrosoft Entraインストールするように構成する

登録されているデバイスにインストールする Win32 アプリIntune割り当てることができますMicrosoft Entra参加済みデバイス。 Intuneでの Win32 アプリの詳細については、「Win32 アプリ管理」を参照してください。

デバイスの概要にプライマリ ユーザーが表示される

[デバイスの概要] ページには、ユーザー デバイス アフィニティ ユーザー (UDA) とも呼ばれるプライマリ ユーザーが表示されます。 デバイスのプライマリ ユーザーを表示するには、[Intune>デバイス>][すべてのデバイス>] の順に選択し、デバイスを選択します。 [ 概要 ] ページの上部近くにプライマリ ユーザーが表示されます。

Android Enterprise 仕事用プロファイル デバイスのマネージド Google Play アプリ レポート

Android Enterprise 仕事用プロファイル デバイスに展開されたマネージド Google Play アプリの場合は、デバイスにインストールされているアプリの特定のバージョン番号を表示できます。 この機能は、必要なアプリにのみ適用されます。

iOS サード パーティ製キーボード

iOS のサード パーティ製キーボード設定に対するアプリ保護ポリシー (APP) のIntuneサポートは、iOS プラットフォームの変更によりサポートされなくなりました。 Intune 管理 コンソールでこの設定を構成することはできず、Intune App SDK のクライアントでは適用されません。

デバイス構成

更新された証明書コネクタ

Intune Certificate Connector と PFX Certificate Connector for Microsoft Intuneの両方の更新プログラムがリリースされました。 新しいリリースでは、いくつかの既知の問題が解決されます。

macOS デバイスでログイン設定を設定し、再起動オプションを制御する

macOS デバイスでは、デバイス構成プロファイルを作成できます ([デバイス>の構成]>Create> [macOS] を [プラットフォーム>] [プロファイルの種類] に [デバイスの機能] に選択します。 この更新プログラムには、カスタム バナーの表示、ユーザーのサインイン方法の選択、電源設定の表示と非表示などの新しいログイン ウィンドウ設定が含まれます。

これらの設定を表示するには、 macOS デバイス機能の設定に移動します。

マルチアプリ キオスク モードで実行されている Android Enterprise、デバイス所有者専用デバイスで WiFi を構成する

マルチアプリ キオスク モードで専用デバイスとして実行する場合は、Android Enterprise、デバイス所有者の設定を有効にすることができます。 この更新プログラムでは、ユーザーが WiFi ネットワーク (Intune>Devices>Configuration>Create>Android Enterprise for platform >Device owner、プロファイルの種類>のデバイス制限専用デバイス>キオスク モード: マルチアプリ>WiFi 構成) を構成して接続できるようにします。

構成できるすべての設定を確認するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: マルチアプリ キオスク モードで実行されている Android Enterprise 専用デバイス

Android Enterprise、マルチアプリ キオスク モードで実行されているデバイス所有者専用デバイスで Bluetooth とペアリングを構成する

マルチアプリ キオスク モードで専用デバイスとして実行する場合は、Android Enterprise、デバイス所有者の設定を有効にすることができます。 この更新プログラムでは、エンド ユーザーが Bluetooth を有効にし、Bluetooth 経由でデバイスをペアリングできます (Intune>Devices>Configuration>Create>Android Enterprise for platform >Device owner only, Device restrictions for profile type >Dedicated devices>Kiosk mode: Multi-app>Bluetooth configuration)。

構成できるすべての設定を確認するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: マルチアプリ キオスク モードで実行されている Android Enterprise 専用デバイス

Intuneで OEMConfig デバイス構成プロファイルをCreateして使用する

この更新プログラムでは、Intuneは OEMConfig を使用した Android Enterprise デバイスの構成をサポートしています。 具体的には、デバイス構成プロファイルを作成し、OEMConfig (デバイス構成>Create>Android enterprise for platform) を使用して Android Enterprise デバイス>に設定を適用できます。

OEM のサポートは現在、OEM ごとに行われます。 必要な OEMConfig アプリが OEMConfig アプリの一覧で使用できない場合は、 にお問い合わせください IntuneOEMConfig@microsoft.com。

この機能の詳細については、「Microsoft Intuneで OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象: Android Enterprise

Windows Update通知

Intune コンソール内から管理できる Windows Update リング構成に、2 つのユーザー エクスペリエンス設定が追加されました。 今後は次のことができるようになりました。

• ユーザーが Windows 更新プログラムをスキャンすることをブロックまたは許可します。
• ユーザーに表示されるWindows Update通知レベルを管理します。

Android Enterprise、デバイス所有者の新しいデバイス制限設定

Android Enterprise デバイスでは、デバイス制限プロファイルを作成して、機能の許可または制限、パスワード規則の設定などを行うことができます (デバイス>の構成>Create>[Android Enterprise for platform]\(デバイス>所有者のみ>プロファイルの種類のデバイス制限\) を選択します。

この更新プログラムには、新しいパスワード設定が含まれており、フル マネージド デバイス向けの Google Play ストアのアプリへのフル アクセスが許可されます。 現在の設定の一覧を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: Android Enterprise フル マネージド デバイス

Windows 10 デバイス コンプライアンス ポリシーで TPM チップセットを確認する

この機能は遅延しており、後でリリースする必要があります。

Windows 10 以降のデバイスでの Microsoft Edge ブラウザーの UI の変更を更新しました

デバイス構成プロファイルを作成するときに、Windows 10以降のデバイス (デバイス>の構成>Create Windows 10>以降のプラットフォームの Microsoft Edge 機能を許可または制限できます。>プロファイルの種類>は Microsoft Edge Browser のデバイス制限です。 この更新プログラムでは、Microsoft Edge の設定がよりわかりやすく、わかりやすくなりました。

これらの機能を確認するには、 Microsoft Edge Browser デバイスの制限設定に関するページを参照してください。

適用対象:

• Windows 10 以降
• Microsoft Edge バージョン 45 以前

Android Enterprise フル マネージド デバイスのサポートの拡大 (プレビュー)

パブリック プレビュー段階では、2019 年 1 月に初めて発表された Android Enterprise フル マネージド デバイスのサポートを次のように拡張しました。

• フル マネージドおよび専用デバイスでは、パスワード ルールとオペレーティング システム要件 (デバイス コンプライアンス>ポリシー>CreateポリシーAndroid Enterprise for platform > プロファイルの種類のデバイス所有者) を含めるコンプライアンス ポリシー>を作成できます。

  専用デバイスでは、デバイスが [準拠していない] と表示される場合があります。 条件付きアクセスは、専用デバイスでは使用できません。 割り当てられたポリシーに準拠している専用デバイスを取得するには、タスクまたはアクションを必ず完了してください。

• 条件付きアクセス - Android に適用される条件付きアクセス ポリシーは、Android Enterprise フル マネージド デバイスにも適用されます。 ユーザーは、Microsoft Intune アプリを使用して、フル マネージド デバイスをMicrosoft Entra IDに登録できるようになりました。 次に、コンプライアンスの問題を確認して解決して、組織のリソースにアクセスします。

• 新しいエンド ユーザー アプリ (Microsoft Intune アプリ) - Microsoft Intune と呼ばれる Android フル マネージド デバイス用の新しいエンド ユーザー アプリがあります。 この新しいアプリは軽量でモダンで、ポータル サイトアプリと同様の機能を提供しますが、フル マネージド デバイス用です。 詳細については、Google Play の Microsoft Intune アプリに関するページを参照してください。

Android フル マネージド デバイスを設定するには、[デバイスの登録] [Android 登録>>] [企業所有のフル マネージド ユーザー デバイス] の順に移動します。 フル マネージド Android デバイスのサポートはプレビューのままであり、一部のIntune機能が完全には機能しない場合があります。

このプレビューの詳細については、ブログ「Microsoft Intune - プレビュー 2 for Android Enterprise フル マネージド デバイス」を参照してください。

コンプライアンス マネージャーを使用してMicrosoft Intuneの評価を作成する

コンプライアンス マネージャー (別の Microsoft サイトを開く) は、Microsoft Service Trust Portal のワークフロー ベースのリスク評価ツールです。 これにより、Microsoft サービスに関連するorganizationの規制コンプライアンス 活動を追跡、割り当て、検証できます。 Microsoft 365、Azure、Dynamics、Professional Services、Intuneで独自のコンプライアンス評価を作成できます。 Intuneには、FFIEC と GDPR の 2 つの評価があります。

コンプライアンス マネージャーは、コントロール (Microsoft によって管理されるコントロール)、およびorganizationによって管理されるコントロールを分解することで、作業に集中するのに役立ちます。 評価を完了し、評価をエクスポートして印刷できます。

連邦金融機関審査委員会 (FFIEC) ( 別の Microsoft サイトを開く) コンプライアンスは、FFIEC によって発行されたオンライン 銀行業務の一連の標準です。 これは、Intuneを使用する金融機関に対して最も要求される評価です。 パブリック クラウド ワークロードに関連する FFIEC サイバーセキュリティ ガイドラインを満たすためにIntuneがどのように役立つかを解釈します。 Intuneの FFIEC 評価は、コンプライアンス マネージャーの 2 番目の FFIEC 評価です。

次の例では、FFIEC コントロールの内訳を確認できます。 Microsoft では、64 個のコントロールについて説明します。 残りの 12 個のコントロールについては、お客様が責任を負います。

一般データ保護規則 (GDPR) ( 別の Microsoft サイトを開く) は、個人とそのデータの権利を保護するのに役立つ欧州連合 (EU) の法律です。 GDPR は、プライバシー規制への準拠に役立つ最も要求される評価です。

次の例では、GDPR コントロールの内訳を確認できます。 Microsoft では、49 個のコントロールについて説明します。 残りの 66 個のコントロールについては、お客様が責任を負います。

デバイスの登録

セットアップ アシスタント中に一部の画面をスキップするようにプロファイルを構成する

macOS 登録プロファイルを作成するときに、ユーザーがセットアップ アシスタントを通過するときに、次のいずれかの画面をスキップするように構成できます。

• 外観モード
• 画面トーン
• iCloudStorage 新しいプロファイルを作成するか、プロファイルを編集する場合、選択したスキップ画面を Apple MDM サーバーと同期する必要があります。 ユーザーは、プロファイルの変更の取得に遅延が発生しないように、デバイスの手動同期を発行できます。 詳細については、「 デバイス登録プログラムまたは Apple School Manager を使用して macOS デバイスを自動的に登録する」を参照してください。

会社の iOS デバイスを登録するときの一括デバイスの名前付け

Apple の企業登録方法 (DEP/ABM/ASM) のいずれかを使用する場合は、デバイス名の形式を設定して、受信 iOS デバイスに自動的に名前を付けることができます。 テンプレートにデバイスの種類とシリアル番号を含む形式を指定できます。 これを行うには、[Intune>Device enrollment>Apple enrollment>program tokens>Select a token>Create profile>Device naming format] を選択します。 既存のプロファイルを編集できますが、新しく同期されたデバイスにのみ名前が適用されます。

[登録の状態] ページで既定のタイムアウト メッセージを更新しました

登録状態ページ (ESP) が ESP プロファイルで指定されたタイムアウト値を超えたときにユーザーに表示される既定のタイムアウト メッセージが更新されました。 新しい既定のメッセージは、ユーザーに表示されるメッセージであり、ESP 展開で実行する次のアクションを理解するのに役立ちます。

デバイス管理

非準拠デバイスを廃止する

この機能は遅延しており、将来のリリースに向けて計画されています。

監視とトラブルシューティング

ベータ版に反映された V1.0 の変更をIntune Data Warehouseする

V1.0 が 1808 年に初めて導入されたとき、ベータ API とは大きく異なっていました。 1903 年には、これらの変更がベータ API バージョンに反映されます。 ベータ API バージョンを使用する重要なレポートがある場合は、破壊的変更を避けるために、これらのレポートを V1.0 に切り替えることを強くお勧めします。 詳細については、「Intune Data Warehouse API の変更ログ」を参照してください。

セキュリティ ベースラインの状態を監視する (パブリック プレビュー)

セキュリティ ベースラインの監視に カテゴリごとのビュー が追加されました。 (セキュリティ ベースラインはプレビューのまま)。 カテゴリごとのビューには、ベースラインの各カテゴリと、そのカテゴリの各ステータス グループに分類されるデバイスの割合が表示されます。 個々のカテゴリに一致しないデバイスの数、正しく構成されていないデバイス、または適用されないデバイスの数を確認できるようになりました。

役割ベースのアクセス制御

Apple VPP トークンのスコープ タグ

Apple VPP トークンにスコープ タグを追加できるようになりました。 同じスコープ タグを持つ割り当てられたユーザーのみが、そのタグを持つ Apple VPP トークンにアクセスできます。 そのトークンで購入した VPP アプリと電子ブックは、スコープ タグを継承します。 スコープ タグの詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

2019 年 3 月

アプリ管理

Microsoft Visio と Microsoft Project を展開する

Microsoft Visio Pro for Microsoft 365 および Microsoft Project Online Desktop Client を独立したアプリとして展開し、これらのアプリのライセンスを所有している場合は、Microsoft Intuneを使用してデバイスをWindows 10できるようになりました。 Intuneから、[クライアント アプリ アプリ>の>追加] を選択して、[アプリの追加] ブレードを表示します。 [アプリの追加] ブレードで、[アプリの種類] として [Windows 10] を選択します。 次に、[ App Suite の構成 ] を選択して、インストールするアプリを選択します。 Windows 10 デバイス用の Microsoft 365 アプリの詳細については、「Microsoft Intuneを使用して microsoft 365 アプリをWindows 10デバイスに割り当てる」を参照してください。

製品名の変更Microsoft Visio Pro for Office 365

Microsoft Visio Pro for Office 365は、Microsoft Visio Online プラン 2 と呼ばれるようになります。 Microsoft Visio の詳細については、「 Visio Online プラン 2」を参照してください。 Windows 10 デバイス用のアプリOffice 365の詳細については、「Microsoft Intuneを使用してWindows 10 デバイスにOffice 365 アプリを割り当てる」を参照してください。

アプリ保護ポリシー (APP) の文字制限設定をIntuneする

Intune管理者は、[app Restrict cut, copy, and paste with other apps]\(アプリの切り取り、コピー、貼り付けを制限する\) ポリシー設定Intuneに例外を指定できます。 管理者は、マネージド アプリから切り取りまたはコピーできる文字数を指定できます。 この設定では、[他のアプリとの切り取り、コピー、貼り付けを制限する] 設定に関係なく、指定した文字数を任意のアプリに共有できます。 Android 用のIntune ポータル サイト アプリ バージョンには、バージョン 5.0.4364.0 以降が必要です。 詳細については、 iOS データ保護、 Android データ保護、 およびクライアント アプリ保護ログの確認に関するページを参照してください。

Microsoft 365 Apps for enterprise展開用 Office 展開ツール (ODT) XML

office Deployment Tool (ODT) XML は、Intune管理センターで展開Microsoft 365 Apps for enterpriseインスタンスを作成するときに提供できます。 この機能により、既存のIntune UI オプションがニーズを満たしていない場合のカスタマイズ性が向上します。 詳細については、「Office 展開ツールのMicrosoft Intuneと構成オプションを使用して、Microsoft 365 アプリをWindows 10デバイスに割り当てる」を参照してください。

アプリ アイコンが自動的に生成された背景と共に表示されるようになりました

Windows ポータル サイト アプリでは、アプリ アイコンがアイコンの主要な色 (検出可能な場合) に基づいて自動的に生成された背景と共に表示されるようになります。 該当する場合、この背景は、以前にアプリ タイルに表示されていた灰色の境界線を置き換えます。 ユーザーは、10.3.3451.0 より後のバージョンのポータル サイトでこの変更を確認できます。

Windows 一括登録後にポータル サイト アプリを使用して使用可能なアプリをインストールする

Windows 一括登録 (プロビジョニング パッケージ) を使用してIntuneに登録された Windows デバイスは、ポータル サイト アプリを使用して使用可能なアプリをインストールできます。 ポータル サイト アプリの詳細については、「Windows 10 ポータル サイトを手動で追加する」および「Microsoft Intune ポータル サイトアプリを構成する方法」を参照してください。

Microsoft Teams アプリは、Office アプリ スイートの一部として選択できます

Microsoft Teams アプリは、Microsoft 365 Apps for enterprise展開アプリ スイートのインストールの一部として含めたり除外したりできます。 この機能は、Microsoft 365 Apps for enterpriseデプロイ ビルド番号 16.0.11328.20116 以降で機能します。 インストールを完了するには、ユーザーがサインアウトしてからデバイスにサインインする必要があります。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 Office 365 Suite アプリの種類のいずれかを選択し、[App Suite の構成] を選択します。

デバイス構成

Windows 10以降のデバイスでキオスク モードで複数のアプリを実行するときにアプリを自動的に起動する

Windows 10以降のデバイスでは、キオスク モードでデバイスを実行し、多くのアプリを実行できます。 この更新プログラムには、プロファイルの種類>のプラットフォーム キオスクの AutoLaunch 設定 (デバイス>の構成>Create>Windows 10以降>) があります。 この設定を使用して、ユーザーがデバイスにサインインしたときにアプリを自動的に起動します。

すべてのキオスク設定の一覧と説明を表示するには、Intuneでキオスクとして実行するWindows 10以降のデバイス設定に関するページを参照してください。

適用対象: Windows 10以降

運用ログには、非準拠デバイスの詳細も表示されます

ログIntune Azure モニター機能にルーティングする場合は、運用ログをルーティングすることもできます。 この更新プログラムでは、運用ログによって非準拠デバイスに関する情報も提供されます。

この機能の詳細については、「Intuneのストレージ、イベント ハブ、またはログ分析にログ データを送信する」を参照してください。

より多くのIntuneワークロードでログを Azure Monitor にルーティングする

Intuneでは、監査ログと操作ログを Azure Monitor のイベント ハブ、ストレージ、およびログ分析にルーティングできます (Intune>診断設定の>監視)。 この更新プログラムでは、コンプライアンス、構成、クライアント アプリなど、より多くのIntuneワークロードにこれらのログをルーティングできます。

Azure Monitor へのログのルーティングの詳細については、「 ストレージ、イベント ハブ、またはログ分析にログ データを送信する」を参照してください。

Intuneの Android Zebra デバイスでモビリティ拡張機能をCreateして使用する

この更新プログラムでは、Intuneは Android Zebra デバイスの構成をサポートしています。 具体的には、デバイス構成プロファイルを作成し、StageNow によって生成されたモビリティ拡張機能 (MX) プロファイル (デバイス>構成>Create>Android for Platform >MX プロファイル (Zebra のみ) を使用して Android Zebra デバイスに設定を適用できます。

この機能の詳細については、「Intuneでモビリティ拡張機能を使用して Zebra デバイスを使用して管理する」を参照してください。

適用対象: Android

デバイス管理

Windows 10 デバイスの暗号化レポート (パブリック プレビュー)

新しい暗号化レポート (プレビュー) を使用して、Windows 10 デバイスの暗号化状態の詳細を表示します。 使用可能な詳細には、デバイスの TPM バージョン、暗号化の準備と状態、エラー報告などがあります。

Intune ポータルから BitLocker 回復キーにアクセスする (パブリック プレビュー)

Intuneを使用して、Microsoft Entra IDから BitLocker キー ID と BitLocker 回復キーの詳細を表示できるようになりました。

iOS および Android デバイスでのIntuneシナリオに対する Microsoft Edge のサポート

Microsoft Edge では、エンド ユーザー エクスペリエンスの向上を加え、Intune Managed Browserと同じ管理シナリオをすべてサポートします。 Intune ポリシーによって有効になっている Microsoft Edge エンタープライズ機能は次のとおりです。

• Dual-Identity
• アプリ保護 ポリシー統合
• Azure アプリケーション プロキシの統合
• 管理されたお気に入りとホーム ページのショートカット。

詳細については、「 Microsoft Edge サポート」を参照してください。

Exchange Online/Intune コネクタ EAS のみのデバイスのサポートを非推奨にする

Intune コンソールでは、Intune コネクタを使用してExchange Onlineに接続されている EAS 専用デバイスの表示と管理がサポートされなくなりました。 代わりに、次のオプションがあります。

• モバイル デバイス管理 (MDM) にデバイスを登録する
• Intuneアプリ保護ポリシーを使用してデバイスを管理する
• Exchange Onlineのクライアントとモバイルで説明されている Exchange コントロールを使用する

[名前] を使用して、正確なデバイスの [すべてのデバイス] ページをSearchします

正確なデバイス名を検索できるようになりました。 Intune>Devices> 検索ボックス内のすべてのデバイス>に移動し、デバイス名を で{}囲み、完全一致を検索します。 たとえば、 {Device12345} です。

監視とトラブルシューティング

[テナントの状態] ページでのその他のコネクタのサポート

[テナントの状態] ページに、エンドポイントやその他の Mobile Threat Defense コネクタのWindows Defenderなど、他のコネクタの状態情報が表示されるようになりました。

Microsoft Intuneの [Data Warehouse] ブレードからの Power BI コンプライアンス アプリのサポート

以前は、[Intune Data Warehouse] ブレードの [Power BI ファイルのダウンロード] リンクは、Intune Data Warehouse レポート (.pbix ファイル) をダウンロードしました。 このレポートは、Power BI コンプライアンス アプリに置き換えられました。 Power BI コンプライアンス アプリでは、特別な読み込みまたはセットアップは必要ありません。 Power BI オンライン ポータルで直接開き、資格情報に基づいてIntune テナント専用のデータが表示されます。 Intuneで、[Intune] ブレードの右側にある [Intune Data Warehouseのセットアップ] リンクを選択します。 次に、[ Power BI アプリの取得] を選択します。 詳細については、「Power BI を使用してData Warehouseに接続する」を参照してください。

役割ベースのアクセス制御

一部のMicrosoft Entra ロールへの読み取り専用アクセスIntune許可する

Intune読み取り専用アクセス権は、次のMicrosoft Entraロールに付与されています。 Microsoft Entra ロールで付与されたアクセス許可は、ロールベースのアクセス制御 (RBAC) Intune付与されたアクセス許可よりも優先されます。

Intune監査データへの読み取り専用アクセス:

• コンプライアンス管理者
• コンプライアンス データ管理者

すべてのIntuneデータへの読み取り専用アクセス:

• セキュリティ管理者
• セキュリティ オペレーター
• セキュリティ閲覧者

詳細については、「ロールベースのアクセス制御」 を参照してください。

iOS アプリ プロビジョニング プロファイルのスコープ タグ

スコープ タグを iOS アプリ プロビジョニング プロファイルに追加すると、そのスコープ タグも割り当てられたロールを持つユーザーのみが iOS アプリ プロビジョニング プロファイルにアクセスできるようになります。 詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

アプリ構成ポリシーのスコープ タグ

スコープ タグをアプリ構成ポリシーに追加すると、そのスコープ タグも割り当てられているロールを持つユーザーのみがアプリ構成ポリシーにアクセスできるようになります。 アプリ構成ポリシーは、同じスコープ タグが割り当てられているアプリに対してのみ、またはアプリに関連付けることができます。 詳細については、「 RBAC とスコープ タグを使用する」を参照してください。

iOS および Android デバイスでのIntuneシナリオに対する Microsoft Edge のサポート

Microsoft Edge では、エンド ユーザー エクスペリエンスの改善を加え、Intune Managed Browserと同じ管理シナリオをすべてサポートします。 Intune ポリシーによって有効になっている Microsoft Edge エンタープライズ機能は次のとおりです。

• Dual-Identity
• アプリ保護 ポリシー統合
• Azure アプリケーション プロキシの統合
• 管理されたお気に入りとホーム ページのショートカット。

詳細については、「 Microsoft Edge サポート」を参照してください。

2019 年 2 月

アプリ管理

macOS ポータル サイト ダーク モードのIntune

Intune macOS ポータル サイトでは、macOS のダーク モードがサポートされるようになりました。 macOS 10.14 以降のデバイスでダーク モードを有効にすると、ポータル サイトはそのモードを反映する色に外観を調整します。

Intuneは、Android デバイスで Google Play Protect API を使用します

一部の IT 管理者は、エンド ユーザーが携帯電話をルート化または脱獄する BYOD 環境に直面しています。 この動作は、意図しない場合もありますが、エンド ユーザー デバイス上のorganizationのデータを保護するために設定された多くのIntune ポリシーをバイパスします。 したがって、Intuneは、登録済みデバイスと登録されていないデバイスの両方にルートと脱獄の検出を提供します。 このリリースでは、Intuneは Google Play Protect API を使用して、登録されていないデバイスの既存のルート検出チェックに追加します。 Google では、発生するルート検出チェックの全体を共有していませんが、これらの API は、デバイスのカスタマイズから古いデバイスで新しい OS 更新プログラムを入手できるまで、何らかの理由でデバイスをルート化したユーザーを検出することを期待しています。 その後、これらのユーザーは企業データへのアクセスをブロックすることも、ポリシーが有効なアプリから会社のアカウントをワイプすることもできます。

さらに価値を高める場合、IT 管理者は[Intune App Protection] ブレード内に複数のレポート更新プログラムを追加します。 [フラグ付きユーザー] レポートには、Google Play Protect の SafetyNet API スキャンによって検出されたユーザーが表示されます。 [有害な可能性があるアプリ] レポートには、Google のアプリの検証 API スキャンによって検出されたアプリが表示されます。 この機能は Android で利用できます。

[トラブルシューティング] ブレードで利用できる Win32 アプリ情報

Win32 アプリのインストールに関するエラー ログ ファイルは、[Intune アプリのトラブルシューティング] ブレードから収集できるようになりました。 アプリのインストールのトラブルシューティングの詳細については、「 アプリのインストールに関する問題のトラブルシューティング 」および 「Win32 アプリの問題のトラブルシューティング」を参照してください。

iOS アプリのアプリの状態の詳細

次のシナリオに関連する新しいアプリのインストール エラー メッセージがあります。

• 共有 iPad にインストールするときの VPP アプリのエラー
• アプリ ストアが無効になっている場合のエラー
• アプリの VPP ライセンスが見つからない
• MDM プロバイダーを使用してシステム アプリをインストールできない
• デバイスが紛失モードまたはキオスク モードの場合にアプリをインストールできない
• ユーザーがApp Storeにサインインしていない場合にアプリをインストールできない

Intuneで、[クライアント アプリ][アプリ>>] [アプリ名] [デバイスのインストール状態] を>選択します。 [ 状態の詳細] 列に新しいエラー メッセージが表示されます。

Windows 10 用ポータル サイト アプリでの新しい [アプリのカテゴリ] 画面

[アプリのカテゴリ] という新しい画面が追加され、Windows 10 用ポータル サイトでのアプリの参照と選択のエクスペリエンスが向上しました。 ユーザーには、[おすすめ]、[教育]、[生産性] などのカテゴリに並べ替えられたアプリが表示されるようになります。 この変更は、ポータル サイト バージョン 10.3.3451.0 以降で表示されます。 新しい画面を表示するには、「 アプリ UI の新機能」を参照してください。 ポータル サイトのアプリの詳細については、「デバイスにアプリをインストールして共有する」を参照してください。

Power BI コンプライアンス アプリ

Intune コンプライアンス (Data Warehouse) アプリを使用して、Power BI Online のIntune Data Warehouseにアクセスします。 この Power BI アプリを使用すると、事前に作成されたレポートにアクセスし、Web ブラウザーを離れることなく、セットアップなしで共有できるようになりました。 詳細については、「 変更ログ - Power BI コンプライアンス アプリ」を参照してください。

デバイス構成

PowerShell スクリプトは、64 ビット デバイス上の 64 ビット ホストで実行できます

デバイス構成プロファイルに PowerShell スクリプトを追加すると、スクリプトは常に 64 ビット オペレーティング システムでも 32 ビットで実行されます。 この更新プログラムを使用すると、管理者は 64 ビット デバイス上の 64 ビット PowerShell ホストでスクリプトを実行できます (デバイス>スクリプトと修復>プラットフォームのスクリプトは>、64 ビット PowerShell ホストで実行スクリプトの構成>を追加>します)。

PowerShell の使用方法の詳細については、「Intuneの PowerShell スクリプト」を参照してください。

適用対象: Windows 10以降

macOS ユーザーにパスワードの更新を求めるメッセージが表示される

Intuneは、macOS デバイスで ChangeAtNextAuth 設定を適用しています。 この設定は、コンプライアンス パスワード ポリシーまたはデバイス制限パスワード プロファイルを持つエンド ユーザーとデバイスに影響します。 エンド ユーザーは、パスワードの更新を 1 回求められます。 このプロンプトは、ユーザーがデバイスへのサインインなど、認証を必要とするタスクを最初に実行するたびに発生します。 また、管理者特権が必要な操作 (アクセスの要求など) を行うときに、ユーザーにパスワードの更新キーチェーン求めることもできます。

管理者によって新規または既存のパスワード ポリシーが変更された場合は、エンド ユーザーにパスワードの更新を再度求めます。

適用対象:
macOS

ユーザーレス macOS デバイスに SCEP 証明書を割り当てる

デバイス属性を使用して、ユーザー アフィニティのないデバイスを含む macOS デバイスに簡易証明書登録プロトコル (SCEP) 証明書を割り当て、証明書プロファイルを Wi-Fi または VPN プロファイルに関連付けることができます。 この機能により、Windows、iOS、および Android を実行する ユーザー アフィニティの有無にかかわらず、SCEP 証明書をデバイスに割り当てる 必要があるサポートが拡張されます。 この更新プログラムでは、macOS の SCEP 証明書プロファイルを構成するときに、 デバイス の証明書の種類を選択するオプションが追加されます。

適用対象:

• macOS

条件付きアクセス UI の更新をIntuneする

Intune コンソールの条件付きアクセスの UI が改善されました。 これらの機能強化は次のとおりです。

• [Intune条件付きアクセス] ブレードをMicrosoft Entra IDのブレードに置き換えた。 この機能により、Intune コンソール内から条件付きアクセス (Microsoft Entra テクノロジのまま) のすべての設定と構成にアクセスできます。
• [オンプレミス アクセス] ブレードの名前が Exchange アクセスに変更され、Exchange サービス コネクタのセットアップがこの名前が変更されたブレードに再配置されました。 この変更により、 Exchange オンラインとオンプレミスに関連する詳細を構成および監視する場所が統合されます。

キオスク ブラウザーと Microsoft Edge ブラウザー アプリは、キオスク モードでWindows 10デバイスで実行できます

キオスク モードでWindows 10デバイスを使用して、1 つのアプリまたは多数のアプリを実行できます。 この更新プログラムには、キオスク モードでのブラウザー アプリの使用に関するいくつかの変更が含まれています。これには、次のものが含まれます。

• Microsoft Edge ブラウザーまたはキオスク ブラウザーを追加して、キオスク デバイス上でアプリとして実行します (デバイス>構成>の新しいプロファイル>Windows 10以降のプロファイルの種類のプラットフォーム>キオスク)。

• 新しい機能と設定を許可または制限するために使用できます (デバイス>構成>新しいプロファイル>Windows 10以降のプラットフォーム>のプロファイルの種類に関するデバイスの制限) には、次が含まれます。

• Microsoft Edge ブラウザー:

  • Microsoft Edge キオスク モードの使用
  • アイドル時間が経過した後にブラウザーを更新する

• お気に入りと検索:

  • 検索エンジンへの変更を許可する

これらの設定の一覧については、次を参照してください。

• キオスクとして実行するWindows 10以降のデバイス設定
• Microsoft Edge Browser バージョン 45 以前のデバイスの制限
• お気に入りと検索デバイスの制限

適用対象: Windows 10以降

iOS デバイスと macOS デバイスの新しいデバイス制限設定

iOS と macOS を実行しているデバイスの一部の設定と機能を制限できます (デバイス>構成>新しいプロファイル>iOS または macOS for platform プロファイル>の種類のデバイス制限)。 この更新プログラムでは、画面の時刻の設定、eSIM の設定や携帯ネットワーク プランの変更など、制御できる機能と設定が追加されます。 また、ソフトウェア更新プログラムのユーザーの可視性を遅らせ、macOS デバイスでのコンテンツ キャッシュをブロックします。

制限できる機能と設定を確認するには、次を参照してください。

• iOS デバイスの制限設定
• macOS デバイスの制限設定

適用対象:

• iOS
• macOS

"キオスク" デバイスが Android Enterprise デバイスで "専用デバイス" と呼ばれるようになりました

Android の用語に合わせて、キオスクは Android エンタープライズ デバイス用の専用デバイス (デバイス>構成>Create> **Android enterprise for platform >Device Owner Only>Device Restrictions>Dedicated devices に変更されます。

使用可能な設定を確認するには、[ デバイスの設定] に移動して機能を許可または制限します。

適用対象:
Android Enterprise

Safari と遅延ユーザー ソフトウェア更新プログラムの可視性 iOS 設定がIntune UI で移動している

iOS デバイスの場合は、Safari 設定を設定し、ソフトウェア Updatesを構成できます。 この更新プログラムでは、これらの設定は、Intune UI のさまざまな部分に移動します。

• Safari 設定が Safari (デバイス>構成> プラットフォーム>の新しいプロファイルiOS プロファイル>の種類のデバイス制限) から組み込みアプリに移動しました。
• [監視対象の iOS デバイスのユーザー ソフトウェア更新プログラムの表示の遅延] 設定 (iOS のソフトウェア更新プログラム>の更新ポリシー) は、デバイスの制限[全般] に移行しています>。 既存のポリシーへの影響の詳細については、「 iOS ソフトウェアの更新プログラム」を参照してください。

設定の一覧については、次を参照してください。

• iOS デバイスの制限
• iOS ソフトウェアの更新プログラム

この機能は、以下に適用されます。

• iOS

デバイス設定で制限を有効にすると、iOS デバイスの画面時間に名前が変更されます

監視対象の iOS デバイスのデバイス設定で [有効にする] 制限を構成できます (デバイス>構成> プロファイルのプラットフォーム>の新しいプロファイル>iOS プロファイルの種類>に関するデバイスの制限全般)。 この更新プログラムでは、この設定の名前が [画面の時刻] に変更されます (監視モードのみ)。

動作は同じです。 特に次のような場合です。

• iOS 11.4.1 以前: [ブロック] では 、エンド ユーザーがデバイス設定で独自の制限を設定できなくなります。
• iOS 12.0 以降: [ブロック] では、コンテンツ & プライバシー制限など、エンド ユーザーがデバイス設定で独自の 画面時間 を設定できなくなります。 iOS 12.0 にアップグレードされたデバイスでは、デバイス設定に [制限] タブが表示されなくなります。 これらの設定は、[画面時間] に表示されます。

設定の一覧については、「 iOS デバイスの制限」を参照してください。

適用対象:

• iOS

PowerShell モジュールのIntune

Microsoft Graph を介してIntune API をサポートする Intune PowerShell モジュールが、Microsoft PowerShell ギャラリーで利用できるようになりました。

• このモジュールの使用方法の詳細
• このモジュールを使用したシナリオの例

配信の最適化のサポートの強化

配信の最適化を構成するためのIntuneのサポートを拡張しました。 これで、配信の最適化設定の展開された一覧を構成し、本体からデバイスをターゲットIntuneできるようになりました。

デバイス管理

登録済みの Windows デバイスの名前を変更する

登録済みのWindows 10デバイス (RS4 以降) の名前を変更できるようになりました。 これを行うには、[Intune>][デバイス][すべてのデバイス>] の順に>選択し、デバイス>の名前を変更します。 この機能は現在、ハイブリッド Microsoft Entra Windows デバイスの名前変更をサポートしていません。

そのスコープを持つ管理者によって作成されたリソースにスコープ タグを自動割り当てする

管理者がリソースを作成すると、管理者に割り当てられたスコープ タグが自動的にそれらの新しいリソースに割り当てられます。

監視とトラブルシューティング

失敗した登録レポートが [デバイス登録] ブレードに移動する

[失敗した登録] レポートが 、[デバイス登録] ブレードの [監視] セクションに移動されました。 2 つの新しい列 (登録方法と OS バージョン) が追加されました。

ポータル サイト破棄レポートの名前が [不完全なユーザー登録] に変更されました

ポータル サイト破棄レポートの名前が [不完全なユーザー登録] に変更されました。

2019 年 1 月

アプリ管理

Intune アプリの PIN

IT 管理者は、エンド ユーザーが Intune アプリの PIN を変更するまで待機できる日数を構成できるようになりました。 新しい設定は日数が経過すると PIN リセットされ、Intune Client アプリ>アプリ保護ポリシー Createポリシー>>設定>アクセス要件を>選択してAzure portalで使用できます。 iOS および Android デバイスで使用できるこの機能では、正の整数値がサポートされています。

デバイス レポート フィールドをIntuneする

Intuneでは、アプリ登録 ID、Android の製造元、モデル、セキュリティパッチのバージョン、iOS モデルなど、より多くのデバイス レポート フィールドが提供されます。 Intuneでは、これらのフィールドは、クライアント アプリ>アプリ保護状態を選択し、[アプリ保護レポート: iOS、Android] を選択することで使用できます。 さらに、これらのパラメーターは、デバイスの製造元 (Android) の 許可 リスト、デバイス モデル (Android と iOS) の 許可 リスト、および Android のセキュリティ パッチの最小バージョン設定を構成するのに役立ちます。

Win32 アプリのトースト通知

アプリの割り当てごとにエンド ユーザーのトースト通知の表示を抑制できます。 Intuneから、[クライアント アプリ] [アプリ>]> の順に選択し、アプリ>の割り当て[グループを>含める] を選択します。

アプリ保護ポリシーの UI 更新プログラムをIntuneする

アプリ保護の設定とボタンのラベルIntune変更され、それぞれがわかりやすくなりました。 変更の一部は次のとおりです。

• コントロールが [はい] コントロールから [いいえ / ] コントロールに変更され、主に有効化コントロールの許可と無効化 / がブロック / されます。 ラベルも更新されます。
• 設定は再フォーマットされるため、より適切なナビゲーションを提供するために、設定とそのラベルがコントロールに並べて表示されます。

既定の設定と設定の数は変わりませんが、この変更により、ユーザーは設定をより簡単に理解、移動、利用して、選択したアプリ保護ポリシーを適用できます。 詳細については、 iOS の設定と Android の設定 に関 するページを参照してください。

Outlook のその他の設定

Intuneを使用して、Outlook for iOS と Android の次の設定を構成できるようになりました。

• iOS と Android の Outlook でのみ職場または学校アカウントの使用を許可する
• Microsoft 365 とハイブリッド先進認証のオンプレミス アカウントの先進認証を展開する
• 基本認証が選択されている場合は、電子メール プロファイルの [ユーザー名] フィールドにを使用 SAMAccountName します
• 連絡先の保存を許可する
• 外部受信者のメール ヒントを構成する
• 優先受信トレイを構成する
• iOS 用 Outlook にアクセスするために生体認証を要求する
• 外部イメージをブロックする

注:

Intune App Protection ポリシーを使用して企業 ID のアクセスを管理する場合は、生体認証の要求を有効にしないことを検討する必要があります。 詳細については、「iOS アクセス設定と Android アクセス設定のアクセスに企業の資格情報を要求する」を参照してください。

詳細については、「 Microsoft Outlook の構成設定」を参照してください。

Android Enterprise アプリを削除する

管理対象の Google Play アプリは、Microsoft Intuneから削除できます。 管理対象の Google Play アプリを削除するには、Azure portalでMicrosoft Intuneを開き、[クライアント アプリ アプリ>] を選択します。 アプリの一覧から、管理対象の Google Play アプリの右側にある省略記号 (...) を選択し、表示された一覧から [削除 ] を選択します。 管理対象の Google Play アプリをアプリの一覧から削除すると、管理対象の Google Play アプリは自動的に承認されなくなります。

マネージド Google Play アプリの種類

マネージド Google Play アプリの種類を使用すると、管理対象の Google Play アプリをIntuneに具体的に追加できます。 Intune管理者は、Intune内で承認済みの管理対象 Google Play アプリを参照、検索、承認、同期、割り当てることができるようになりました。 管理対象の Google Play コンソールを個別に参照する必要がなくなり、再認証する必要がなくなりました。 Intuneで、[クライアント アプリ アプリ]>[アプリ>の追加] の順に選択します。 [ アプリの種類 ] の一覧で、アプリの種類として [ マネージド Google Play ] を選択します。

既定の Android PIN キーボード

PIN の種類が数値の Android デバイスで Intune App Protection Policy (APP) PIN を設定したエンド ユーザーに対して、以前に設計された固定 Android キーボード UI ではなく、既定の Android キーボードが表示されるようになります。 この変更は、Android と iOS の両方で既定のキーボードを使用する場合、PIN の種類の 数値 とパスコードの両方に対して一貫性が保 たれていました。 APP PIN など、Android のエンド ユーザー アクセス設定の詳細については、「 Android のアクセス要件」を参照してください。

デバイス構成

管理テンプレートはパブリック プレビュー段階にあり、独自の構成プロファイルに移動されます

Intuneの管理用テンプレート (デバイス構成>管理テンプレート) は、現在パブリック プレビュー段階です。 この更新プログラムでは、次の操作を行います。

• 管理テンプレートには、Intuneで管理できる約 300 の設定が含まれています。 以前は、これらの設定はグループ ポリシー エディターにのみ存在しました。
• 管理用テンプレートはパブリック プレビューで使用できます。
• 管理用テンプレートは、デバイス構成管理テンプレートからデバイス>構成>>Create Windows 10>以降のプラットフォーム>のプロファイルの種類の管理用テンプレートに移行しています。
• レポートが有効になっている

この機能の詳細については、「Windows 10 テンプレート」を参照してグループ ポリシー設定を構成します。

適用対象: Windows 10以降

S/MIME を使用してユーザーの複数のデバイスを暗号化して署名する

この更新プログラムには、新しいインポートされた証明書プロファイル (デバイス>構成>Create>PKCS インポートされた証明書プロファイルの種類を>選択する) を使用した S/MIME 電子メール暗号化が含まれます。 Intuneでは、PFX 形式で証明書をインポートできます。 Intune、同じ証明書を 1 人のユーザーが登録した複数のデバイスに配信できます。 この機能には、次の機能も含まれます。

• ネイティブ iOS 電子メール プロファイルでは、インポートされた証明書を使用した S/MIME 暗号化を PFX 形式で有効にできます。
• Windows Phone 10 台のデバイス上のネイティブ メール アプリでは、S/MIME 証明書が自動的に使用されます。
• プライベート証明書は、複数のプラットフォーム間で配信できます。 ただし、すべてのメール アプリで S/MIME がサポートされているわけではありません。
• 他のプラットフォームでは、S/MIME を有効にするようにメール アプリを手動で構成する必要がある場合があります。
• S/MIME 暗号化をサポートするアプリEmail、発行元の証明書ストアからの読み取りなど、MDM でサポートできない方法で、S/MIME メール暗号化の証明書の取得を処理する場合があります。 この機能の詳細については、「 S/MIME の概要」を参照して、電子メールに署名および暗号化します。 サポート対象: Windows、Windows Phone 10、macOS、iOS、Android

Windows 10以降のデバイスで DNS 設定を使用するときにルールを自動的に接続して保持するための新しいオプション

Windows 10以降のデバイスでは、CONTOSO.COM などのドメインを解決するための DNS サーバーの一覧を含む VPN 構成プロファイルを作成できます。 この更新プログラムには、名前解決の新しい設定が含まれています (デバイス>の構成>Create> プラットフォーム>の [Windows 10以降を選択する] プロファイルの種類>の [DNS 設定>] [追加] の順に選択します)。

• 自動接続: 有効にすると、入力したドメイン (contoso.com など) にデバイスが接続すると、デバイスは VPN に自動的に接続します。
• 永続的: 既定では、デバイスがこの VPN プロファイルを使用して接続されている限り、すべての名前解決ポリシー テーブル (NRPT) ルールがアクティブになります。 この設定が NRPT ルールで 有効になっている 場合、VPN が切断された場合でも、ルールはデバイス上でアクティブなままになります。 このルールは、VPN プロファイルが削除されるまで、またはルールが手動で削除されるまで保持されます。これは PowerShell を使用して実行できます。 Windows 10 VPN 設定では、設定について説明します。

Windows 10 デバイス上の VPN プロファイルに信頼されたネットワーク検出を使用する

信頼されたネットワーク検出を使用する場合、ユーザーが既に信頼されたネットワーク上にある場合に、VPN プロファイルによって VPN 接続が自動的に作成されないようにすることができます。 この更新プログラムでは、DNS サフィックスを追加して、Windows 10 以降を実行しているデバイス (>デバイス構成>Create Windows 10>以降のプロファイルの種類のプラットフォーム >VPN) で信頼できるネットワーク検出を有効にすることができます。 Windows 10 VPN 設定には、現在の VPN 設定が一覧表示されます。

複数のユーザーが使用Windows Holographic for Businessデバイスを管理する

現時点では、カスタム OMA-URI 設定を使用して、Windows 10デバイスとWindows Holographic for Business デバイスで共有 PC 設定を構成できます。 この更新プログラムでは、共有デバイス設定 (デバイス>構成>Create Windows 10>以降>の共有マルチユーザー デバイス) を構成するための新しいプロファイルが追加されます。 この機能の詳細については、「Intune設定」を参照して共有デバイスを管理します。 適用対象: Windows 10 以降、Windows Holographic for Business

新しいWindows 10の更新設定

Windows 10更新リングでは、次の構成を行うことができます。

• 自動更新動作 - 2018 年 10 月の更新プログラムを実行しているコンピューター上のWindows 10 コンピューターで元の自動更新設定を復元するには、新しいオプションを使用します。既定値にリセットします
• ユーザーによる Windows 更新プログラムの一時停止をブロックする - 新しいソフトウェア更新プログラムの設定を構成します。これにより、ユーザーはコンピューターの 設定 から更新プログラムのインストールをブロックまたは一時停止できます。

iOS 電子メール プロファイルでは、S/MIME 署名と暗号化を使用できます

さまざまな設定を含む電子メール プロファイルを作成できます。 この更新プログラムには、iOS デバイスでの電子メール通信の署名と暗号化に使用できる S/MIME 設定が含まれています (デバイス>構成>Create> プロファイルの種類にプラットフォーム >Emailに iOS を選択します)。 iOS 電子メール構成設定には、設定 が一覧表示されます。

一部の BitLocker 設定では、Windows 10 Pro エディションがサポートされています

BitLocker など、Windows 10 デバイスでエンドポイント保護設定を設定する構成プロファイルを作成できます。 この更新プログラムにより、一部の BitLocker 設定Windows 10 Professional エディションのサポートが追加されます。 これらの保護設定を表示するには、Windows 10のエンドポイント保護設定に移動します。

共有デバイスの構成の名前が、Azure portalの iOS デバイスのロック画面メッセージに変更されます

iOS デバイスの構成プロファイルを作成するときに、 共有デバイスの構成 設定を追加して、ロック画面に特定のテキストを表示できます。 この更新プログラムには、次の変更が含まれています。

• Azure portalの共有デバイス構成設定の名前が "ロック画面メッセージ (監視のみ) " に変更されます (デバイス>の構成>Create> プラットフォーム>の [iOS の選択] プロファイルの種類 [ロック画面メッセージ] の [>デバイス機能の選択] )。
• ロック画面メッセージを追加するときに、シリアル番号、デバイス名、または別のデバイス固有の値を変数として Asset タグ情報 と ロック画面脚注に挿入できます。 たとえば、中かっこを入力 Device name: {{devicename}} または Serial number is {{serialnumber}} 使用できます。 iOS トークンには、 使用できるトークンが一覧表示されます。 ロック画面にメッセージを表示する設定には、 設定の一覧が表示されます。

iOS デバイスに追加された新しいApp Store、ドキュメント表示、ゲーム デバイスの制限設定

[デバイス>の構成>Create>iOS for platform プロファイル>の種類>App Storeのデバイス制限、ドキュメント表示、ゲームで、次の設定が追加されます。 マネージド アプリが管理されていない連絡先アカウントに連絡先を書き込むのを許可する 管理されていないアプリが管理対象の連絡先アカウントから読み取ることを許可する これらの設定を確認するには、iOS デバイスの制限に移動します。

Android Enterprise デバイス所有者デバイスへの新しい通知、ヒント、キーガード設定

この更新プログラムには、デバイス所有者として実行されている Android Enterprise デバイス上のいくつかの新機能が含まれています。 これらの機能を使用するには、[デバイス>の構成]> に移動しCreate>[プラットフォーム] で [Android Enterprise> In Profile type] を選択し、[デバイス所有者のみ>デバイスの制限] を選択します。

新機能は次のとおりです。

• 着信、システム アラート、システム エラーなど、システム通知の表示を無効にします。
• 最初に開かれるアプリのチュートリアルとヒントをスキップするよう提案します。
• カメラ、通知、指紋のロック解除など、キーガードの詳細設定を無効にします。

設定を表示するには、 Android Enterprise デバイスの制限設定に移動します。

Android エンタープライズ デバイス所有者デバイスは、Always On VPN 接続を使用できます

この更新プログラムでは、Android エンタープライズ デバイス所有者デバイスで Always-on VPN 接続を使用できます。 Always-on VPN 接続は接続を維持するか、ユーザーがデバイスのロックを解除したとき、デバイスの再起動時、またはワイヤレス ネットワークが変更されたときにすぐに再接続します。 接続を "ロックダウン" モードにすることもできます。これにより、VPN 接続がアクティブになるまですべてのネットワーク トラフィックがブロックされます。 [デバイス>の構成>] で Always-on VPN を有効にできますCreate>デバイス所有者専用>接続設定のプラットフォーム>のデバイス制限に対してAndroid enterprise。 設定を表示するには、 Android Enterprise デバイスの制限設定に移動します。

Windows 10 デバイスのタスク マネージャーでプロセスを終了するための新しい設定

この更新プログラムには、Windows 10 デバイスでタスク マネージャーを使用してプロセスを終了するための新しい設定が含まれています。 デバイス構成プロファイル (デバイス>構成>Create>[プラットフォーム] で、[プロファイルの種類] Windows 10> [デバイスの制限>] [全般設定] の順に選択します。この設定を許可または禁止することを選択します。 これらの設定を表示するには、[デバイス制限設定のWindows 10] に移動します。 適用対象: Windows 10以降

セキュリティ ベースラインで Microsoft が推奨する設定を使用する (パブリック プレビュー)

Intuneは、エンドポイントのWindows Defenderや Defender for Endpoint のOffice 365など、セキュリティに焦点を当てた他のサービスと統合されます。 お客様は、Microsoft 365 サービス全体で一般的な戦略と、エンドツーエンドのセキュリティ ワークフローのまとまりのあるセットを求めている。 私たちの目標は、セキュリティ運用と一般的な管理者タスクをブリッジするソリューションを構築するための戦略を調整することです。 Intuneでは、Microsoft が推奨する一連の "セキュリティ ベースライン" (Intune>セキュリティ ベースライン) を公開することで、この目標を達成することを目指しています。 管理者は、これらのベースラインから直接セキュリティ ポリシーを作成し、ユーザーに展開できます。 また、organizationのニーズに合わせてベスト プラクティスの推奨事項をカスタマイズすることもできます。 Intuneは、デバイスがこれらのベースラインに準拠し続け、コンプライアンスに準拠していないユーザーまたはデバイスを管理者に通知します。

この機能はパブリック プレビュー段階であるため、現在作成されたプロファイルは、一般公開されているセキュリティ ベースライン テンプレート (GA) には移行されません。 運用環境でこれらのプレビュー テンプレートを使用する予定はありません。

セキュリティ ベースラインの詳細については、「IntuneでWindows 10セキュリティ ベースラインをCreateする」を参照してください。

この機能は、Windows 10以降に適用されます。

管理者以外のユーザーは、Microsoft Entra IDに参加しているWindows 10デバイスで BitLocker を有効にすることができます

Windows 10 デバイス (デバイス>の構成>Create Windows 10>以降のプロファイルの種類>の Windows 暗号化のエンドポイント>保護) で BitLocker 設定を有効にすると、BitLocker 設定を追加します。

この更新プログラムには、標準ユーザー (管理者以外) が暗号化を有効にできるようにする新しい BitLocker 設定が含まれています。

設定を表示するには、[Windows 10のエンドポイント保護設定] に移動します。

Configuration Managerコンプライアンスを確認する

この更新プログラムには、新しいConfiguration Managerコンプライアンス設定 (デバイス コンプライアンス>ポリシー>Createポリシー>Windows 10以降>Configuration Managerコンプライアンス) が含まれています。 Configuration Managerは、Intuneコンプライアンスにシグナルを送信します。 この設定を使用すると、すべてのConfiguration Manager信号が準拠を返すように要求できます。

たとえば、すべてのソフトウェア更新プログラムをデバイスにインストールする必要があります。 Configuration Managerでは、この要件は "インストール済み" 状態です。 デバイス上のプログラムが不明な状態の場合、デバイスはIntuneで非準拠です。

Configuration Managerコンプライアンスでは、この設定について説明します。

適用対象: Windows 10以降

デバイス構成プロファイルを使用して監視対象の iOS デバイスで壁紙をカスタマイズする

iOS デバイス用のデバイス構成プロファイルを作成するときに、一部の機能 (デバイス>構成>Create>iOS for platform プロファイル>の種類のデバイス機能) をカスタマイズできます。 この更新プログラムには、管理者がホーム画面またはロック画面で .png、.jpg、または.jpegイメージを使用できるようにする新しい 壁紙 設定が含まれています。 これらの壁紙設定は、監視対象のデバイスにのみ適用されます。

これらの設定の一覧については、「 iOS デバイス機能の設定」を参照してください。

キオスクWindows 10一般公開

この更新プログラムでは、Windows 10 以降のデバイスのキオスク機能が一般公開されています (GA)。 追加および構成できるすべての設定を確認するには、Windows 10のキオスク設定 (以降) に関するページを参照してください。

Android Enterprise のデバイス制限 > デバイス所有者で Bluetooth 経由の連絡先共有が削除されました

Android Enterprise デバイスのデバイス制限プロファイルを作成すると、 Bluetooth を使用した連絡先の共有 設定があります。 この更新プログラムでは、[Bluetooth 経由の連絡先の共有] 設定が削除されます (デバイス>の構成>Create>Android Enterprise for platform >デバイス制限 > プロファイルの種類 > [全般] のデバイス所有者)。

[Bluetooth 経由の連絡先共有] 設定は、Android Enterprise Device Owner 管理ではサポートされていません。 そのため、この設定が削除されても、環境でこの設定が有効で構成されていても、デバイスやテナントには影響しません。

現在の設定の一覧を表示するには、 Android Enterprise デバイスの設定に移動して、機能を許可または制限します。

適用対象: Android Enterprise デバイス所有者

デバイスの登録

登録制限のエラー メッセージの詳細

登録の制限が満たされていない場合は、より詳細なエラー メッセージを使用できます。 これらのメッセージを表示するには、Intune>[>トラブルシューティング] に移動し、[登録エラー] テーブルをチェックします。

デバイスの管理

Android 企業所有のフル マネージド デバイスのサポートのプレビュー

Intuneでは、企業所有の "デバイス所有者" シナリオであるフル マネージド Android デバイスがサポートされるようになりました。このシナリオでは、デバイスは IT によって緊密に管理され、個々のユーザーと連携しています。 この機能を使用すると、管理者はデバイス全体を管理し、仕事用プロファイルに使用できない広範なポリシー制御を適用し、管理対象の Google Play からのみアプリをインストールするようにユーザーを制限できます。 詳細については、「Android フル マネージド デバイスのIntune登録を設定する」および「専用デバイスまたはフル マネージド デバイスを登録する」を参照してください。

この機能はプレビュー段階です。 証明書、コンプライアンス、条件付きアクセスなどの一部のIntune機能は、現在、Android フル マネージド ユーザー デバイスでは使用できません。

登録デバイスを使用しない WIP の選択的ワイプのサポート

Windows Information Protection 登録なし (WIP-WE) を使用すると、完全な MDM 登録を必要とせずに、Windows 10 デバイス上の企業データを保護できます。 WIP-WE ポリシーでドキュメントを保護すると、保護されたデータをIntune管理者が選択的にワイプできます。 ユーザーとデバイスを選択し、ワイプ要求を送信すると、WIP-WE ポリシーによって保護されたすべてのデータが使用できなくなります。 Azure portalのIntuneから、[モバイル アプリ アプリ>の選択的ワイプ] を選択します。

監視とトラブルシューティング

テナントの状態ダッシュボード

新しい [テナントの状態] ページ には、テナントの状態と関連する詳細を表示できる 1 つの場所が用意されています。 ダッシュボードは、次の 4 つの領域に分かれています。

• テナントの詳細 - テナント名と場所、MDM 機関、テナントに登録されているデバイスの合計数、ライセンス数を含む情報が表示されます。 このセクションでは、テナントの現在のサービス リリースも一覧表示します。
• コネクタの状態 - 構成した使用可能なコネクタに関する情報を表示し、まだ有効になっていないコネクタを一覧表示することもできます。
  各コネクタの現在の状態に基づいて、正常、警告、または異常としてフラグが設定されます。 ドリルスルーして詳細を表示するコネクタを選択するか、詳細を構成します。
• Intune Service Health - テナントのアクティブなインシデントまたは停止に関する詳細が表示されます。 このセクションの情報は、Office メッセージ センターから直接取得されます。
• Intuneニュース - テナントのアクティブなメッセージを表示します。 メッセージには、テナントが最新のIntune機能を受け取ったときの通知などが含まれます。 このセクションの情報は、Office メッセージ センターから直接取得されます。

Windows 10のポータル サイトに関する新しいヘルプとサポート エクスペリエンス

新しいポータル サイトヘルプ & サポート ページは、ユーザーがアプリとアクセスの問題のトラブルシューティングとヘルプの要求に役立ちます。 新しいページから、エラーと診断ログの詳細を電子メールで送信し、organizationのヘルプデスクの詳細を見つけることができます。 関連するIntuneドキュメントへのリンクが記載された FAQ セクションもあります。

Intuneの新しいヘルプとサポート エクスペリエンス

今後数日間、すべてのテナントに新しいヘルプとサポート エクスペリエンスをロールアウトします。 この新しいエクスペリエンスは、Intuneで使用でき、Azure portalでIntuneブレードを使用するときにアクセスできます。 新しいエクスペリエンスを使用すると、自分の問題を自分の言葉で説明し、トラブルシューティングの分析情報と Web ベースの修復コンテンツを受け取ることができます。 これらのソリューションは、ユーザーの問い合わせによって駆動されるルールベースの機械学習アルゴリズムを介して提供されます。 問題固有のガイダンスに加えて、新しいケース作成ワークフローを使用して、メールまたは電話でサポート ケースを開きます。

この新しいエクスペリエンスは、以前のヘルプおよびサポート エクスペリエンスに置き換わります。 これは、ヘルプとサポートを開くときの本体の領域に基づいて、事前に選択されたオプションの静的なセットでした。

詳細については、「Microsoft Intuneのサポートを受ける方法」を参照してください。

新しい運用ログと、Azure Monitor サービスにログを送信する機能

Intuneには、変更が加えられたイベントを追跡する監査ログが組み込まれています。 この更新プログラムには、次のような新しいログ機能が含まれています。

• 成功や失敗した試行など、登録したユーザーとデバイスの詳細を表示する運用ログ (プレビュー)。
• 監査ログと運用ログは、ストレージ アカウント、イベント ハブ、ログ分析など、Azure Monitor に送信できます。 これらのサービスを使用すると、Splunk や QRadar などの分析を保存、使用し、ログ データの視覚化を取得できます。

Intuneのストレージ、イベント ハブ、またはログ分析にログ データを送信すると、この機能の詳細が提供されます。

iOS DEP デバイスのその他のセットアップ アシスタント画面をスキップする

現在スキップできる画面に加えて、ユーザーがデバイスを登録するときにセットアップ アシスタントの画面をスキップするように iOS DEP デバイスを設定できます。ディスプレイ トーン、プライバシー、Android 移行、ホーム ボタン、iMessage & FaceTime、オンボード、ウォッチ移行、外観、画面時間、ソフトウェア更新プログラム、SIM セットアップ。 スキップする画面を選択するには、[デバイス登録>] [Apple 登録>プログラム トークン>] > の順に移動し、[プロファイル] [プロファイル>>] [プロパティ>] [セットアップ アシスタント] のカスタマイズ>を選択し、[OK] をスキップ>する画面に対して [非表示] を選択します。 新しいプロファイルを作成するか、プロファイルを編集する場合は、選択したスキップ画面を Apple MDM サーバーと同期する必要があります。 ユーザーは、プロファイルの変更の取得に遅延が発生しないように、デバイスの手動同期を発行できます。

Android Enterprise APP-WE アプリのデプロイ

登録されていない App Protection Policy (APP-WE) 展開シナリオの Android デバイスの場合、マネージド Google Play を使用してストア アプリと LOB アプリをユーザーに展開できるようになりました。 具体的には、エンド ユーザーにアプリ カタログとインストール エクスペリエンスを提供できます。エンド ユーザーは、不明なソースからのインストールを許可することで、デバイスのセキュリティ態勢を緩める必要がなくなりました。 さらに、このデプロイ シナリオでは、エンド ユーザー エクスペリエンスが向上します。

役割ベースのアクセス制御

アプリのスコープ タグ

スコープ タグを作成して、ロールとアプリのアクセスを制限できます。 スコープ タグをアプリに追加すると、そのスコープ タグも割り当てられたロールを持つユーザーのみがアプリにアクセスできるようになります。 現時点では、管理対象の Google Play から Intune に追加されたアプリや、Apple Volume Purchase Program (VPP) を使用して購入したアプリにスコープ タグを割り当てることはできません (今後のサポートが計画されています)。 詳細については、「 スコープ タグを使用してポリシーをフィルター処理する」を参照してください。

2018 年 12 月

アプリ管理

アプリケーション トランスポート セキュリティのUpdates

Microsoft Intuneは、トランスポート層セキュリティ (TLS) 1.2 以降をサポートし、クラス最高の暗号化を提供し、Intuneが既定でより安全であることを確認し、Microsoft 365 などの他の Microsoft サービスと連携させます。 この要件を満たすために、iOS および macOS ポータル サイトでは、Apple の更新されたアプリケーション トランスポート セキュリティ (ATS) 要件が適用されます。これには TLS 1.2 以降も必要です。 ATS は、HTTPS 経由のすべてのアプリ通信に対してより厳しいセキュリティを適用するために使用されます。 この変更は、iOS アプリと macOS ポータル サイト アプリを使用しているIntuneのお客様に影響します。 詳細については、Intune サポート ブログを参照してください。

Intune App SDK では、256 ビット暗号化キーがサポートされます

Intune App SDK for Android では、App Protection ポリシーで暗号化が有効になっているときに、256 ビット暗号化キーが使用されるようになりました。 SDK は、古い SDK バージョンを使用するコンテンツやアプリとの互換性のために、引き続き 128 ビット キーのサポートを提供します。

macOS デバイスに必要な Microsoft Auto Update バージョン 4.5.0

ポータル サイトやその他の Office アプリケーションの更新プログラムを引き続き受信するには、Intuneによって管理される macOS デバイスを Microsoft Auto Update 4.5.0 にアップグレードする必要があります。 ユーザーは、Office アプリ用にこのバージョンを既に持っている可能性があります。

デバイス管理

Intuneには macOS 10.12 以降が必要です

Intune macOS バージョン 10.12 以降が必要になりました。 以前の macOS バージョンを使用しているデバイスでは、ポータル サイトを使用してIntuneに登録することはできません。 サポートの支援と新機能を受け取るために、ユーザーはデバイスを macOS 10.12 以降にアップグレードし、ポータル サイトを最新バージョンにアップグレードする必要があります。

2018 年 11 月

アプリ管理

企業所有の監視対象 iOS デバイス上のアプリのアンインストール

企業所有の監視対象 iOS デバイス上の任意のアプリを削除できます。 アンインストール割り当ての種類でユーザーまたはデバイス グループをターゲットにすることで、任意のアプリを削除できます。 個人用または教師なし iOS デバイスの場合、引き続き、Intuneを使用してインストールされたアプリのみを削除できます。

Win32 アプリ コンテンツIntuneダウンロードする

Windows 10 RS3 以降のクライアントは、Windows 10 クライアントIntune配信の最適化コンポーネントを使用して Win32 アプリのコンテンツをダウンロードします。 配信の最適化では、既定でオンになっているピアツーピア機能が提供されます。 現時点では、配信の最適化はグループ ポリシーによって構成できます。 詳しくは、Windows 10 の配信の最適化に関するページをご覧ください。

エンド ユーザーデバイスとアプリコンテンツメニュー

エンド ユーザーは、デバイスとアプリのコンテキスト メニューを使用して、デバイスの名前変更やコンプライアンスの確認などの一般的なアクションをトリガーできるようになりました。

アプリでカスタム背景マネージド ホーム スクリーン設定する

Android Enterprise、マルチアプリ、キオスク モード デバイスでマネージド ホーム スクリーン アプリの背景の外観をカスタマイズできる設定を追加しています。 カスタム URL の背景を構成するには、Azure portal デバイス構成のIntune>に移動します。 現在のデバイス構成プロファイルを選択するか、新しいデバイス構成プロファイルを作成してキオスク設定を編集します。 キオスクの設定を確認するには、「 Android Enterprise デバイスの制限」を参照してください。

アプリ保護ポリシー割り当ての保存と適用

これで、アプリ保護ポリシーの割り当てをより適切に制御できるようになりました。 [ 割り当て] を選択してポリシーの割り当てを設定または編集する場合は、変更が適用される前に構成を 保存 する必要があります。 [含める] または [除外] リストに変更を保存せずに行ったすべての変更をクリアするには、[ 破棄] を使用します。 [保存] または [破棄] を要求すると、意図したユーザーにのみアプリ保護ポリシーが割り当てられます。

Windows 10 以降の新しい Microsoft Edge ブラウザー設定

この更新プログラムには、デバイス上の Microsoft Edge ブラウザー バージョン 45 以前を制御および管理するための新しい設定が含まれています。 これらの設定の一覧については、「Windows 10のデバイス制限 (以降)」を参照してください。

アプリ保護ポリシーを使用した新しいアプリのサポート

Intuneアプリ保護ポリシーを使用して、次のアプリを管理できるようになりました。

• Stream (iOS)
• 実行する (Android、iOS)
• PowerApps (Android、iOS)
• Flow (Android、iOS)

アプリ保護ポリシーを使用して、企業データを保護し、これらのアプリのデータ転送を制御します (他のIntune ポリシーで管理されているアプリなど)。 注: コンソールに Flow がまだ表示されていない場合は、ポリシーとアプリ保護ポリシーを作成または編集するときに Flow を追加します。 これを行うには、[ + その他のアプリ ] オプションを使用し、入力フィールドに Flow の アプリ ID を 指定します。 Android の場合は com.microsoft.flow を使用し、iOS の場合は com.microsoft.procsimo を使用します。

デバイス構成

iOS 電子メール プロファイルでの iOS 12 OAuth のサポート

Intuneの iOS 電子メール プロファイルでは、iOS 12 Open Authorization (OAuth) がサポートされています。 この機能を表示するには、新しいプロファイル (プロファイルの種類のプラットフォーム >Emailのデバイス>構成>Create>iOS) を作成するか、既存の iOS 電子メール プロファイルを更新します。 既にユーザーに展開されているプロファイルで OAuth を有効にした場合、ユーザーは再認証を求め、メールをもう一度ダウンロードするように求められます。

iOS 電子メール プロファイル には、電子メール プロファイルでの OAuth の使用に関する詳細が記載されています。

iOS 用 Citrix SSO のネットワーク Access Control (NAC) のサポート

Citrix Gateway に対して、Intuneで Citrix SSO for iOS 用のネットワーク Access Control (NAC) を許可する更新プログラムをリリースしました。 Intuneの VPN プロファイル内にデバイス ID を含め、このプロファイルを iOS デバイスにプッシュすることを選択できます。 この機能を使用するには、Citrix Gateway に最新の更新プログラムをインストールする必要があります。

iOS デバイスで VPN 設定を構成 すると、NAC の使用に関する詳細情報 (その他の要件など) が提供されます。

iOS と macOS のバージョン番号とビルド番号が表示されます

デバイス コンプライアンス>デバイスコンプライアンスでは、iOS および macOS オペレーティング システムのバージョンが表示され、コンプライアンス ポリシーで使用できます。 この更新プログラムには、両方のプラットフォームで構成可能なビルド番号が含まれています。 セキュリティ更新プログラムがリリースされると、通常、Apple はバージョン番号をそのまま残しますが、ビルド番号は更新します。 コンプライアンス ポリシーでビルド番号を使用すると、脆弱性の更新プログラムがインストールされている場合に簡単にチェックできます。 この機能を使用するには、「 iOS および macOS コンプライアンス ポリシー」を参照してください。

更新リングは、Windows 10 以降の配信の最適化設定に置き換えられます

配信の最適化は、Windows 10以降の新しい構成プロファイルです。 この機能により、organization内のデバイスにソフトウェア更新プログラムを配信するための、より効率的なエクスペリエンスが提供されます。 この更新プログラムは、構成プロファイルを使用して、新規および既存の更新リングの設定を配信するのにも役立ちます。 配信最適化構成プロファイルを構成するには、「Windows 10 (以降) 配信の最適化設定」を参照してください。

iOS デバイスと macOS デバイスに追加された新しいデバイス制限設定

この更新プログラムには、iOS 12 でリリースされる iOS デバイスと macOS デバイスの新しい設定が含まれています。

iOS 設定:

• 全般: アプリの削除をブロックする (監視のみ)
• 一般: USB 制限モードをブロックする (監視モードのみ)
• 一般: 自動日時を強制する (監視のみ)
• パスワード: パスワードオートフィルをブロックする (監視モードのみ)
• パスワード: パスワード近接要求をブロックする (監視のみ)
• パスワード: パスワード共有をブロックする (監視モードのみ)

macOS 設定:

• パスワード: パスワードオートフィルをブロックする
• パスワード: パスワード近接要求をブロックする
• パスワード: パスワード共有をブロックする

これらの設定の詳細については、「 iOS と macOS デバイスの制限設定」を参照してください。

デバイスの登録

Microsoft Entraハイブリッド参加済みデバイスの Autopilot サポート (プレビュー)

Autopilot を使用して、ハイブリッド参加済みデバイスMicrosoft Entra設定できるようになりました。 ハイブリッド Autopilot 機能を使用するには、デバイスをorganizationのネットワークに参加させる必要があります。 詳細については、「Intuneと Windows Autopilot を使用してMicrosoft Entraハイブリッド参加済みデバイスを展開する」を参照してください。 この機能は、今後数日間にわたってユーザー ベース全体でロールアウトされます。 そのため、アカウントにロールアウトされるまで、これらの手順に従えない場合があります。

[登録の状態] ページで追跡されているアプリを選択する

登録状態ページで追跡するアプリを選択できます。 これらのアプリがインストールされるまで、ユーザーはデバイスを使用できません。 詳細については、「 登録状態の設定」ページを参照してください。

シリアル番号による Autopilot デバイスのSearch

シリアル番号で Autopilot デバイスを検索できるようになりました。 これを行うには、[デバイス登録>] [Windows 登録>] [デバイス>] の順に選択し、[シリアル番号でSearch] ボックスにシリアル番号を入力して Enter キーを押します。>

Office ProPlus のインストールを追跡する

ユーザーは、[登録の状態] ページを使用して、Office ProPlus のインストールの進行状況を追跡できます。 詳細については、「 登録状態の設定」ページを参照してください。

VPP トークンまたはポータル サイト ライセンスの有効期限が切れている場合のアラート

ボリューム購入プログラム (VPP) を使用して DEP 登録中にポータル サイトを事前にプロビジョニングする場合は、VPP トークンの有効期限が切れ、ポータル サイトのライセンスが不足しているときにアラートをIntuneします。

Apple School Manager アカウントの macOS デバイス登録プログラムのサポート

Intuneでは、Apple School Manager アカウントの macOS デバイスでのデバイス登録プログラムの使用がサポートされるようになりました。 詳細については、「 Apple School Manager またはデバイス登録プログラムを使用して macOS デバイスを自動的に登録する」を参照してください。

新しいIntune デバイス サブスクリプション SKU

企業でデバイスを管理するコストを削減するために、新しいデバイス ベースのサブスクリプション SKU を使用できるようになりました。 このIntuneデバイス SKU は、デバイスごとに毎月ライセンスされます。 価格はライセンス プログラムによって異なります。 Microsoft 365 管理センター、Enterprise Agreement (EA)、Microsoft 製品およびサービス契約 (MPSA)、Microsoft Open Agreements、クラウド ソリューション プロバイダー (CSP) を通じて直接利用できます。

デバイス管理

Android デバイスでキオスク モードを一時的に一時停止して変更を加える

マルチアプリ キオスク モードで Android デバイスを使用する場合、IT 管理者がデバイスに変更を加える必要がある場合があります。 この更新プログラムには、IT 管理者が PIN を使用してキオスク モードを一時的に一時停止し、デバイス全体にアクセスできるようにする新しいマルチアプリ キオスク設定が含まれています。 キオスクの設定を確認するには、「 Android Enterprise デバイスの制限」を参照してください。

Android Enterprise キオスク デバイスで仮想ホーム ボタンを有効にする

新しい設定を使用すると、ユーザーはデバイスのソフト キー ボタンをタップして、マネージド ホーム スクリーン アプリと、マルチアプリ キオスク デバイス上の他の割り当てられたアプリを切り替えることができます。 この設定は、ユーザーのキオスク アプリが "戻る" ボタンに適切に応答しないシナリオで役立ちます。 この設定は、企業所有のシングルユース Android デバイスに対して構成できます。 [仮想ホーム] ボタンを有効または無効にするには、Azure portal デバイス構成のIntune>に移動します。 現在のデバイス構成プロファイルを選択するか、新しいデバイス構成プロファイルを作成してキオスク設定を編集します。 キオスクの設定を確認するには、「 Android Enterprise デバイスの制限」を参照してください。

2018 年 10 月

アプリ管理

ポータル サイト アプリを使用したキー プロファイル プロパティへのアクセス

エンド ユーザーは、ポータル サイト アプリから、キー アカウントのプロパティとパスワード リセットなどのアクションにアクセスできるようになりました。

サードパーティ製キーボードは、iOS のアプリ設定でブロックできます

iOS デバイスでは、Intune管理者は、ポリシーで保護されたアプリのorganization データにアクセスするときに、サード パーティ/パートナー キーボードの使用をブロックできます。 アプリケーション保護ポリシー (APP) がサード パーティ/パートナー キーボードをブロックするように設定されている場合、デバイス ユーザーは、サード パーティ/パートナー キーボードを使用するときに、初めて企業データと対話するときにメッセージを受け取ります。 ネイティブ キーボード以外のすべてのオプションはブロックされ、デバイス ユーザーには表示されません。 デバイス ユーザーには、ダイアログ メッセージが 1 回だけ表示されます。

管理対象の Android および iOS デバイス上のIntune アプリのユーザー アカウント アクセス

Microsoft Intune管理者は、管理対象デバイス上の Microsoft Office アプリケーションに追加するユーザー アカウントを制御できます。 アクセスを許可されているorganizationユーザー アカウントのみに制限し、登録済みデバイスの個人アカウントをブロックできます。

Outlook iOS と Android アプリの構成ポリシー

ActiveSync プロトコルで基本認証を使用するオンプレミス ユーザー向けに、iOS および Android 用の Outlook iOS および Android アプリ構成ポリシーを作成できるようになりました。 Outlook for iOS と Android に対して有効になっている構成設定が追加されます。

Microsoft 365 Apps for enterprise言語パック

Intune管理者は、Intuneを介して管理されるMicrosoft 365 Apps for enterprise アプリ用の他の言語をデプロイできます。 使用可能な言語の一覧には、言語パックの 種類 (コア、部分、および校正) が含まれます。 Azure portalで、[Microsoft Intune>Client apps Apps>>Add] を選択します。 [アプリの追加] ブレードの [アプリの種類] の一覧で、[Office 365 Suite] の [Windows 10] を選択します。 [App Suite の設定] ブレードで [言語] を選択します。

Windows 基幹業務 (LOB) アプリのファイル拡張子

Windows LOB アプリのファイル拡張子に、、、.appx.appxbundle、.msix、 .msixbundleが含まれる.msiようになりました。 [クライアントアプリ] [アプリの追加] の順に選択して、Microsoft Intuneにアプリ>>を追加できます。 [ アプリの追加] ウィンドウが表示され、 アプリの種類を選択できます。 Windows LOB アプリの場合は、アプリの種類として [ 基幹業務 アプリ] を選択し、[ アプリ パッケージ ファイル] を選択し、適切な拡張子を持つインストール ファイルを入力します。

Intuneを使用したアプリのデプロイのWindows 10

管理者は、基幹業務 (LOB) アプリとビジネス向け Microsoft Store アプリに対する既存のサポートに基づいて、Intuneを使用して、organizationの既存のアプリケーションの大部分をWindows 10デバイス上のエンド ユーザーにデプロイできます。 管理者は、MSI、Setup.exe、MSP など、さまざまな形式のWindows 10 ユーザーのアプリケーションを追加、インストール、アンインストールできます。 Intuneは、ダウンロードとインストールの前に要件ルールを評価し、Windows 10 アクション センターを使用して状態または再起動の要件をエンド ユーザーに通知します。 この機能は、このワークロードをIntuneとクラウドに移行することに関心がある組織のブロックを効果的に解除します。 この機能は現在パブリック プレビュー段階であり、今後数か月間、この機能に大幅な新機能を追加する予定です。

Web データの App Protection Policy (APP) 設定

Android デバイスと iOS デバイスの両方の Web コンテンツの APP ポリシー設定が更新され、http と https の両方の Web リンク、および iOS ユニバーサル リンクと Android アプリ リンクを介したデータ転送が適切に処理されます。

エンド ユーザーデバイスとアプリコンテンツメニュー

エンド ユーザーは、デバイスとアプリのコンテキスト メニューを使用して、デバイスの名前変更やコンプライアンスの確認などの一般的なアクションをトリガーできるようになりました。

Windows ポータル サイトのキーボード ショートカット

エンド ユーザーは、Windows ポータル サイトでキーボード ショートカット (アクセラレータ) を使用して、アプリとデバイスのアクションをトリガーできるようになります。

指定したタイムアウト後に生体認証以外の PIN を要求する

管理者が指定したタイムアウト後に非生体認証 PIN を要求することで、Intuneは、企業データへのアクセスに生体認証 ID の使用を制限することで、モバイル アプリケーション管理 (MAM) が有効なアプリのセキュリティを強化します。 この設定は、タッチ ID (iOS)、Face ID (iOS)、Android 生体認証、またはその他の将来の生体認証方法を使用してアプリ/MAM 対応アプリケーションにアクセスするユーザーに影響します。 これらの設定を使用すると、Intune管理者はユーザー アクセスをより詳細に制御できるため、複数の指紋やその他の生体認証アクセス方法を持つデバイスが正しくないユーザーに企業データを表示する可能性がなくなります。 Azure portalで、Microsoft Intuneを開きます。 [クライアント アプリ>アプリ保護ポリシー ポリシー設定>の追加] を>選択します。 特定の設定の [アクセス ] セクションを見つけます。 アクセス設定の詳細については、 iOS の設定と Android の設定 に関 するページを参照してください。

iOS MDM に登録されているデバイスでの APP データ転送設定のIntune

iOS MDM 登録済みデバイスのIntune APP データ転送設定の制御と、登録されたユーザーの ID (ユーザー プリンシパル名 (UPN)) の指定を分離できます。 IntuneMAMUPN を使用していない管理者は、動作の変更を観察しません。 この機能を利用できる場合、IntuneMAMUPN を使用して登録済みデバイスでのデータ転送動作を制御する管理者は、新しい設定を確認し、必要に応じてアプリ設定を更新する必要があります。

Win32 アプリのWindows 10

Win32 アプリを個々のユーザーのユーザー コンテキストにインストールするように構成することも、デバイスのすべてのユーザーにアプリをインストールするように構成することもできます。

Windows Win32 アプリと PowerShell スクリプト

エンド ユーザーは、Win32 アプリをインストールしたり、PowerShell スクリプトを実行したりするために、デバイスにログインする必要がなくなりました。

クライアント アプリのインストールのトラブルシューティング

[トラブルシューティング] ブレードの [アプリのインストール] というラベルの列を確認することで、クライアント アプリの インストール の成功 をトラブルシューティング できます。 [トラブルシューティング] ブレードを表示するには、Intune ポータルの [ヘルプとサポート] で [トラブルシューティング] を選択します。

デバイス構成

Windows 10を実行しているデバイスの VPN 構成プロファイルで DNS サフィックスをCreateする

VPN デバイス構成プロファイル (デバイス>構成>Create Windows 10>以降のプラットフォーム >VPN プロファイルの種類) を作成するときに、いくつかの DNS 設定を入力します。 この更新プログラムでは、Intuneに複数の DNS サフィックスを入力することもできます。 DNS サフィックスを使用する場合は、完全修飾ドメイン名 (FQDN) ではなく、短い名前を使用してネットワーク リソースを検索できます。 この更新プログラムを使用すると、Intuneの DNS サフィックスの順序を変更することもできます。 Windows 10 VPN 設定には、現在の DNS 設定が一覧表示されます。 適用対象: Windows 10 デバイス

Android エンタープライズ作業プロファイルの Always-on VPN のサポート

この更新プログラムでは、管理対象の仕事用プロファイルを持つ Android エンタープライズ デバイスで Always-on VPN 接続を使用できます。 Always-on VPN 接続は接続を維持するか、ユーザーがデバイスのロックを解除したとき、デバイスの再起動時、またはワイヤレス ネットワークが変更されたときにすぐに再接続します。 接続を "ロックダウン" モードにすることもできます。これにより、VPN 接続がアクティブになるまですべてのネットワーク トラフィックがブロックされます。 [デバイス>の構成]> で Always-on VPN を有効にできますCreate>Android enterprise for platform >Device restrictions>Connectivity settings.

ユーザーレス デバイスに SCEP 証明書を発行する

現在、証明書はユーザーに発行されます。 この更新プログラムを使用すると、キオスク (デバイス>構成>Create Windows 10>以降のプロファイル用プラットフォーム > SCEP 証明書など、ユーザーレス デバイスを含むデバイスに SCEP 証明書を発行できます。 その他の更新プログラムは次のとおりです。

• SCEP プロファイルの Subject プロパティがカスタム テキスト ボックスになり、新しい変数を含めることができます。

• SCEP プロファイルの サブジェクト別名 (SAN) プロパティがテーブル形式になり、新しい変数を含めることができます。 テーブルでは、管理者が属性を追加し、カスタム テキスト ボックスに値を入力できます。 SAN では、次の属性がサポートされます。

  • DNS
  • 電子メール アドレス
  • UPN

  これらの新しい変数は、カスタム値のテキスト ボックスに静的テキストと共に追加できます。 たとえば、DNS 属性は として DNS = {{AzureADDeviceId}}.domain.com追加できます。

  注:

  中かっこ、セミコロン、パイプ記号 " { } ; | " は、SAN の静的テキストでは機能しません。 中かっこは、または Subject alternative nameのいずれかに受け入れられるSubject新しいデバイス証明書変数の 1 つのみを囲む必要があります。

新しいデバイス証明書変数:

"{{AAD_Device_ID}}",
"{{Device_Serial}}",
"{{Device_IMEI}}",
"{{SerialNumber}}",
"{{IMEINumber}}",
"{{AzureADDeviceId}}",
"{{WiFiMacAddress}}",
"{{IMEI}}",
"{{DeviceName}}",
"{{FullyQualifiedDomainName}}",
"{{MEID}}",

注:

• {{FullyQualifiedDomainName}} は、Windows デバイスとドメイン参加済みデバイスでのみ機能します。
• デバイス証明書のサブジェクトまたは SAN で IMEI、シリアル番号、完全修飾ドメイン名などのデバイス プロパティを指定する場合は、デバイスへのアクセス権を持つユーザーがこれらのプロパティを偽装する可能性があることに注意してください。

SCEP 証明書プロファイルCreate、SCEP 構成プロファイルの作成時に現在の変数が一覧表示されます。

適用対象: Windows 10以降と iOS(Wi-Fi でサポート)

準拠していないデバイスをリモートでロックする

デバイスが非準拠の場合は、デバイスをリモートでロックするコンプライアンス ポリシーに対してアクションを作成できます。 [デバイス コンプライアンスIntune>で、新しいポリシーを作成するか、既存のポリシー>の [プロパティ] を選択します。 [非準拠>のアクション][追加] を選択し、デバイスをリモートでロックすることを選択します。 サポート対象:

• Android
• iOS
• macOS
• Windows 10 Mobile
• Windows Phone 8.1 以降

Azure portalのWindows 10以降のキオスク プロファイルの機能強化

この更新プログラムには、Windows 10 キオスク デバイス構成プロファイル (デバイス>構成>Create Windows 10>以降のプロファイルの種類のプラットフォーム >キオスク プレビューの次の機能強化が含まれています。

• 現在、同じデバイス上に複数のキオスク プロファイルを作成できます。 この更新プログラムでは、Intuneはデバイスごとに 1 つのキオスク プロファイルのみをサポートします。 1 つのデバイスに複数のキオスク プロファイルが必要な場合は、カスタム URI を使用できます。
• マルチアプリ キオスク プロファイルでは、アプリケーション グリッドの [スタート] メニュー レイアウトのアプリケーション タイルのサイズと順序を選択できます。 さらにカスタマイズする場合は、引き続き XML ファイルをアップロードできます。
• キオスク ブラウザーの設定が キオスク 設定に移動しています。 現在、キオスク Web ブラウザーの設定には、Azure portalに独自のカテゴリがあります。 適用対象: Windows 10以降

iOS デバイスで指紋または顔 ID を変更するときの PIN プロンプト

iOS デバイスで生体認証を変更した後、ユーザーに PIN の入力を求められるようになりました。 この機能には、登録済みの指紋または顔 ID の変更が含まれます。 プロンプトのタイミングは、 (分) タイムアウト後のアクセス要件の再確認 の構成によって異なります。 PIN が設定されていない場合、ユーザーは PIN を設定するように求められます。

この機能は iOS でのみ使用でき、Intune APP SDK for iOS バージョン 9.0.1 以降を統合するアプリケーションの参加が必要です。 SDK の統合は、対象のアプリケーション上で動作を適用するために必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 参加するアプリには、WXP、Outlook、マネージド ブラウザー、Viva Engageなどがあります。

iOS VPN クライアントでのネットワーク アクセス制御のサポート

この更新プログラムでは、Cisco AnyConnect、F5 Access、および Citrix SSO for iOS 用の VPN 構成プロファイルを作成するときに、ネットワーク Access Control (NAC) を有効にする新しい設定があります。 この設定により、デバイスの NAC ID を VPN プロファイルに含めることができます。 現時点では、この新しい NAC ID をサポートする VPN クライアントや NAC パートナー ソリューションはありません。 サポートに関する ブログ投稿 を通じて、お客様に情報を提供します。

NAC を使用するには、次の手順を実行する必要があります。

1. INTUNEが VPN プロファイルにデバイス ID を含めることを許可するようにオプトインする
2. NAC プロバイダーから直接ガイダンスを使用して、NAC プロバイダーのソフトウェア/ファームウェアを更新する

iOS VPN プロファイル内のこの設定の詳細については、「Microsoft Intuneの iOS デバイスに VPN 設定を追加する」を参照してください。 ネットワーク アクセス制御の詳細については、「ネットワーク アクセス制御 (NAC) とIntuneの統合」を参照してください。

適用対象: iOS

メール プロファイルが 1 つしかない場合でも、デバイスからメール プロファイルを削除する

以前は、メール プロファイルが唯一のメール プロファイルの 場合 、デバイスからメール プロファイルを削除できませんでした。 この更新プログラムでは、この動作が変更されます。 これで、デバイス上の唯一のメール プロファイルであっても、メール プロファイルを削除できます。 詳細については、「Intuneを使用してデバイスに電子メール設定を追加する」を参照してください。

PowerShell スクリプトとMicrosoft Entra ID

Intuneの PowerShell スクリプトは、デバイス セキュリティ グループMicrosoft Entra対象にすることができます。

Android、Android Enterprise の新しい "必須パスワードの種類" の既定の設定

新しいコンプライアンス ポリシー (Intune>デバイス コンプライアンス>ポリシー>Createポリシー>Android または Android enterprise for Platform > System Security) を作成すると、[必須パスワードの種類] の既定値が変更されます。

From: Device default To: 少なくとも数値

適用対象: Android、Android Enterprise

これらの設定を表示するには、 Android と Android Enterprise に移動します。

Windows 10 Wi-Fi プロファイルで事前共有キーを使用する

この更新プログラムでは、WPA/WPA2-Personal セキュリティ プロトコルと共に事前共有キー (PSK) を使用して、Windows 10の Wi-Fi 構成プロファイルを認証できます。 また、2018 年 10 月の更新プログラムWindows 10デバイスの従量制課金ネットワークのコスト構成を指定することもできます。

現在、Wi-Fi プロファイルをインポートするか、事前共有キーを使用するカスタム プロファイルを作成する必要があります。 Windows 10の Wi-Fi 設定には、現在の設定が一覧表示されます。

デバイスから PKCS 証明書と SCEP 証明書を削除する

一部のシナリオでは、PKCS 証明書と SCEP 証明書がデバイスに残っていました。 グループからポリシーを削除したり、構成またはコンプライアンスの展開を削除したり、管理者が既存の SCEP または PKCS プロファイルを更新したりしても、引き続き使用されます。

この更新プログラムは動作を変更します。 PKCS 証明書と SCEP 証明書がデバイスから削除されるシナリオと、これらの証明書がデバイスに残っているシナリオがいくつかあります。 これらのシナリオについては、「Microsoft Intuneで SCEP 証明書と PKCS 証明書を削除する」を参照してください。

コンプライアンスのために macOS デバイスで Gatekeeper を使用する

この更新プログラムには、デバイスのコンプライアンスを評価するための macOS Gatekeeper が含まれています。 Gatekeeper プロパティを設定するには、 macOS デバイスのデバイス コンプライアンス ポリシーを追加します。

デバイスの登録

登録されている Win 10 デバイスがまだ Autopilot に登録されていないデバイスに Autopilot プロファイルを適用する

Autopilot プロファイルは、Autopilot にまだ登録されていない登録済みの Win 10 デバイスに適用できます。 Autopilot プロファイルで、[ すべてのターゲット デバイスを Autopilot に変換 する] オプションを選択して、Autopilot 以外のデバイスを Autopilot 展開サービスに自動的に登録します。 登録が処理されるまで 48 時間待ちます。 デバイスの登録を解除してリセットすると、Autopilot によってプロビジョニングされます。

複数の登録ステータス ページ プロファイルをMicrosoft Entra グループにCreateして割り当てる

Azure ADD グループに複数の登録状態ページ プロファイルを 作成して割り当て ることができるようになりました。

Intuneでのデバイス登録プログラムから Apple Business Manager への移行

Apple Business Manager (ABM) はIntuneで動作し、アカウントをデバイス登録プログラム (DEP) から ABM にアップグレードできます。 Intuneのプロセスは同じです。 Apple アカウントを DEP から ABM にアップグレードするには、 に移動します https://support.apple.com/HT208817。

[デバイス登録の概要] ページの [アラート] タブと [登録状態] タブ

[デバイス登録の概要] ページで、アラートと登録エラーが個別のタブに表示されるようになりました。

登録破棄レポート

破棄された登録の詳細を提供する新しいレポートは、[ デバイス登録>モニター] で使用できます。 詳細については、「 ポータル サイトの破棄レポート」を参照してください。

新しいMicrosoft Entra使用条件機能

Microsoft Entra IDには、既存のIntune使用条件の代わりに使用できる使用条件機能があります。 Microsoft Entra ID使用条件機能を使用すると、用語の表示と表示タイミングの柔軟性が向上し、ローカライズのサポートが向上し、用語のレンダリング方法の制御が強化され、レポートが改善されます。 Microsoft Entra ID使用条件機能には、Enterprise Mobility + Security E3 スイートの一部である P1 Microsoft Entra IDが必要です。 詳細については、 ユーザー アクセスに関する会社の契約条件の管理に関する記事を参照してください。

Android デバイス所有者モードのサポート

Samsung Knox Mobile Enrollment の場合、Intuneでは Android デバイス所有者モードの管理へのデバイスの登録がサポートされるようになりました。 WiFi または携帯ネットワーク上のユーザーは、初めてデバイスをオンにしたときに、数回タップするだけで登録できます。 詳しくは、「Samsung の Knox Mobile Enrollment を使用して Android デバイスを自動的に登録する」をご覧ください。

デバイス管理

ソフトウェア Updatesの新しい設定

• 一部の通知を構成して、最新のソフトウェア更新プログラムのインストールを完了するために必要な再起動についてエンド ユーザーに警告できるようになりました。
• BYOD シナリオをサポートする勤務時間外に発生する再起動の再起動警告プロンプトを構成できるようになりました。

Windows Autopilot に登録されたデバイスを相関子 ID でグループ化する

Intuneでは、Configuration Managerを介して既存のデバイスに対して Autopilot を使用して登録するときに、相関子 ID で Windows デバイスをグループ化できるようになりました。 correlator ID は、Autopilot 構成ファイルのパラメーターです。 Intuneは、Microsoft Entra デバイス属性 enrollmentProfileName を に自動的に設定OfflineAutopilotprofile-〈correlator ID〉します。 この機能を使用すると、オフライン Autopilot 登録の enrollmentprofileName 属性を使用して、相関子 ID に基づいて任意のMicrosoft Entra動的グループを作成できます。 詳細については、「既存デバイス向け Windows Autopilot」を参照してください。

アプリ保護ポリシーのIntune

Intuneアプリ保護ポリシーを使用すると、Microsoft Outlook や Microsoft Wordなど、保護されたアプリIntuneさまざまなデータ保護設定を構成できます。 iOS と Android の両方でこれらの設定の外観を変更して、個々の設定を簡単に見つけられるようにしました。 ポリシー設定には、次の 3 つのカテゴリがあります。

• データ再配置 - このグループには、切り取り、コピー、貼り付け、名前付け保存の制限など、データ損失防止 (DLP) コントロールが含まれます。 これらの設定により、ユーザーがアプリ内のデータを操作する方法が決まります。
• アクセス要件 - このグループには、エンド ユーザーが作業コンテキストでアプリにアクセスする方法を決定するアプリごとの PIN オプションが含まれています。
• 条件付き起動 - このグループには、OS の最小設定、脱獄とルート化されたデバイスの検出、オフライン猶予期間などの設定が保持されます。

設定の機能は変更されませんが、ポリシー作成フローで作業するときに見つけやすくなります。

アプリを制限し、Android デバイス上の会社のリソースへのアクセスをブロックします

[デバイス コンプライアンス>ポリシー>Createポリシー>Android>システム セキュリティ] に、[デバイス セキュリティ] セクションの [制限付きアプリ] という名前の新しい設定があります。 [制限付きアプリ] 設定では、コンプライアンス ポリシーを使用して、特定のアプリがデバイスにインストールされている場合に会社のリソースへのアクセスをブロックします。 制限付きアプリがデバイスから削除されるまで、デバイスは非準拠と見なされます。 適用対象:

• Android

Intune アプリ

Intuneは、LOB アプリの最大パッケージ サイズ 8 GB をサポートします

Intune、基幹業務 (LOB) アプリの最大パッケージ サイズを 8 GB に増やしました。 詳しくは、「Microsoft Intune にアプリを追加する」をご覧ください。

ポータル サイト アプリ用のカスタム ブランド イメージを追加する

Microsoft Intune管理者は、カスタム ブランド イメージをアップロードできます。 この画像は、iOS ポータル サイト アプリのユーザーのプロファイル ページに背景画像として表示されます。 ポータル サイト アプリの構成方法の詳細については、「Microsoft Intune ポータル サイト アプリを構成する方法」を参照してください。

Intuneは、エンド ユーザー のコンピューターで Office を更新するときに Office のローカライズされた言語を維持します

Intuneがエンド ユーザーのマシンに Office をインストールすると、エンド ユーザーは、以前の .MSI Office インストールと同じ言語パックを自動的に取得します。 詳細については、「Microsoft Intuneを使用して microsoft 365 アプリをWindows 10デバイスに割り当てる」を参照してください。

監視とトラブルシューティング

Microsoft 365 デバイス管理 ポータルの新しいIntune サポート エクスペリエンス

Microsoft 365 デバイス管理 ポータルで、Intuneの新しいヘルプとサポート エクスペリエンスをロールアウトします。 新しいエクスペリエンスを使用すると、自分の問題を自分の言葉で説明し、トラブルシューティングの分析情報と Web ベースの修復コンテンツを受け取ることができます。 これらのソリューションは、ユーザーの問い合わせによって駆動されるルールベースの機械学習アルゴリズムを介して提供されます。

問題固有のガイダンスに加えて、新しいケース作成ワークフローを使用して、メールまたは電話でサポート ケースを開くこともできます。

ロールアウトの一部であるお客様の場合、この新しいエクスペリエンスは、現在のヘルプとサポートのエクスペリエンスに取って代わります。 これは、ヘルプとサポートを開くときの本体の領域に基づいて、事前に選択されたオプションの静的なセットでした。

この新しいヘルプとサポート エクスペリエンスは、一部のテナントにロールアウトされていますが、一部のテナントにはロールアウトされておらず、デバイス管理 ポータルで利用できます。 この新しいエクスペリエンスの参加者は、使用可能なIntuneテナントからランダムに選択されます。 ロールアウトを展開すると、新しいテナントが追加されます。

詳細については、「Microsoft Intuneのサポートを受ける方法」の「ヘルプとサポート エクスペリエンス」を参照してください。

Intune用 PowerShell モジュール – プレビューが利用可能

Microsoft Graph を通じてIntune API のサポートを提供する新しい PowerShell モジュールが GitHub でプレビューできるようになりました。 このモジュールの使用方法の詳細については、その場所の README を参照してください。

2018 年 9 月

アプリ管理

アプリ保護状態タイルの重複を削除する

[iOS のユーザー状態] と [Android タイルのユーザー状態] は、[クライアント アプリ - 概要] ページと [クライアント アプリ - アプリ保護状態] ページの両方に存在していました。 重複を回避するために、状態タイルが [クライアント アプリ - 概要] ページから削除されました。

デバイス構成

より多くのサード パーティ証明機関 (CA) のサポート

簡易証明書登録プロトコル (SCEP) を使用すると、Windows、iOS、Android、macOS を使用して、モバイル デバイスで新しい証明書を発行し、証明書を更新できるようになりました。

デバイスの登録

Intuneは iOS 10 以降をサポートするように移動します

Intune登録、ポータル サイト、およびマネージド ブラウザーでは、iOS 10 以降を実行している iOS デバイスのみがサポートされるようになりました。 organizationで影響を受けるデバイスまたはユーザーのチェックするには、[Azure portal デバイス>] [すべてのデバイス] の [Intune>] に移動します。 OS でフィルター処理し、[ 列] を選択して OS のバージョンの詳細を表示します。 これらのユーザーに、サポートされている OS バージョンにデバイスをアップグレードするように依頼します。

以下に一覧表示されているデバイスがある場合、または以下に示すデバイスのいずれかを登録する場合は、iOS 9 以前のみをサポートしていることを確認してください。 Intune ポータル サイトに引き続きアクセスするには、iOS 10 以降をサポートするデバイスにこれらのデバイスをアップグレードする必要があります。

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (第 3 世代)
• iPad Mini (第 1 世代)

デバイス管理

Microsoft 365 デバイス管理 管理センター

Microsoft 365 の約束の 1 つは簡素化された管理であり、長年にわたってバックエンドの Microsoft 365 サービスを統合して、IntuneやMicrosoft Entra条件付きアクセスなどのエンド ツー エンドのシナリオを提供してきました。 新しい Microsoft 365 管理センター は、管理者エクスペリエンスを統合、簡素化、統合する場所です。 デバイス管理のスペシャリスト ワークスペースを使用すると、organizationで必要なすべてのデバイスとアプリ管理情報とタスクに簡単にアクセスできます。 この機能は、エンタープライズ エンド ユーザー コンピューティング チームのプライマリ クラウド ワークスペースになることを期待しています。

2018 年 8 月

アプリ管理

カスタム接続の種類と Pulse Secure 接続の種類に対するアプリごとの iOS VPN プロファイルのパケット トンネルのサポート

アプリごとの iOS VPN プロファイルを使用する場合は、アプリ層トンネリング (アプリ プロキシ) またはパケット レベルトンネリング (パケット トンネル) を使用できます。 これらのオプションは、次の接続の種類で使用できます。

• カスタム VPN
• Pulse Secure 使用する値がわからない場合は、VPN プロバイダーのドキュメントを参照してください。

デバイスに iOS ソフトウェアの更新プログラムが表示される場合の遅延

Intune >ソフトウェア Updates>iOS の更新ポリシーでは、デバイスに更新プログラムをインストールしない日時を構成できます。 今後の更新では、ソフトウェア更新プログラムが 1 日から 90 日の間、デバイスに表示されるタイミングを遅らせることができます。 Microsoft Intuneで iOS 更新ポリシーを構成すると、現在の設定が一覧表示されます。

Microsoft 365 Apps for enterpriseバージョン

Intuneを使用してMicrosoft 365 Apps for enterpriseアプリをWindows 10デバイスに割り当てる場合は、Office のバージョンを選択できます。 Azure portalで、[アプリの追加] Microsoft Intune>>選択します。 次に、[種類] ドロップダウン リストから [Office 365 ProPlus Suite (Windows 10)] を選択します。 [ App Suite の設定] を選択 して、関連付けられているブレードを表示します。 [チャネルの更新] を [月単位] などの値に設定します。 必要に応じて、[ はい] を選択して、エンド ユーザー デバイスから他のバージョンの Office (msi) を削除します。 選択したチャネルの特定のバージョンの Office をエンド ユーザー デバイスにインストールするには、[ 特定 ] を選択します。 この時点で、使用する特定の バージョン の Office を選択できます。 使用可能なバージョンは、時間の経過と同時に変更されます。 そのため、新しいデプロイを作成するときに、使用可能なバージョンが新しい場合があり、特定の古いバージョンが使用できない場合があります。 現在のデプロイでは引き続き古いバージョンがデプロイされますが、バージョン一覧はチャネルごとに継続的に更新されます。 詳細については、「Microsoft 365 Apps の更新チャネルの概要」を参照してください。

Windows 10 VPN の DNS 設定の登録のサポート

この更新プログラムを使用すると、カスタム プロファイルを使用することなく、VPN インターフェイスに割り当てられた IP アドレスを内部 DNS に動的に登録するように、Windows 10 VPN プロファイルを構成できます。 使用可能な現在の VPN プロファイル設定については、「Windows 10 VPN 設定」を参照してください。

macOS ポータル サイト インストーラーに、インストーラー ファイル名にバージョン番号が含まれるようになりました

iOS のアプリの自動更新

アプリの自動更新は、iOS バージョン 11.0 以降のデバイスアプリとユーザー ライセンスアプリの両方で機能します。

デバイス構成

ユーザーとデバイスを対象とするWindows Hello

Windows Hello for Business ポリシーを作成すると、organization (テナント全体) 内のすべてのユーザーに適用されます。 この更新プログラムでは、デバイス構成ポリシー (デバイス構成>Create Identity Protection>Windows Hello for Business) を使用して、>特定のユーザーまたは特定の>デバイスにもポリシーを適用できます。

Azure portalのIntuneで、Windows Helloの構成と設定がデバイス登録とデバイス構成の両方に存在するようになりました。 デバイス登録は、organization全体 (テナント全体) を対象とし、Windows Autopilot (OOBE) をサポートします。 デバイス構成は、チェックイン中に適用されるポリシーを使用するデバイスとユーザーを対象としています。

この機能は、以下に適用されます。

• Windows 10 以降
• Windows Holographic for Business

Zscaler は、iOS 上の VPN プロファイルで使用可能な接続です

iOS VPN デバイス構成プロファイル (デバイス>構成>Create>iOS プラットフォーム >VPN プロファイルの種類) を作成する場合、Cisco、Citrix など、いくつかの接続の種類があります。 この更新プログラムは、接続の種類として Zscaler を追加します。

iOS を実行しているデバイスの VPN 設定 には、使用可能な接続の種類が一覧表示されます。

Windows 10のエンタープライズ Wi-Fi プロファイルの FIPS モード

Intune Azure portalのWindows 10に対して Enterprise Wi-Fi プロファイルの連邦情報処理標準 (FIPS) モードを有効にできるようになりました。 Wi-Fi プロファイルで有効にする場合は、Wi-Fi インフラストラクチャで FIPS モードが有効になっていることを確認します。

IntuneのWindows 10以降のデバイスの Wi-Fi 設定では、Wi-Fi プロファイルを作成する方法について説明します。

Windows 10以降のデバイスで S モードを制御する - パブリック プレビュー

この機能更新プログラムを使用すると、Windows 10 デバイスを S モードから切り替えたり、ユーザーがデバイスを S モードから切り替えたりできないようにするデバイス構成プロファイルを作成できます。 この機能は、デバイス>の構成>Intune >Windows 10以降>のエディションのアップグレードとモードの切り替えにあります。

S モードでWindows 10を導入すると、S モードの詳細が提供されます。

適用対象: 最新の Windows Insider ビルド (プレビュー中)。

エンドポイント構成パッケージのWindows Defenderが構成プロファイルに自動的に追加される

Intuneで Defender for Endpoint とオンボード デバイスを使用する場合は、構成パッケージをダウンロードして構成プロファイルに追加する必要がありました。 この更新プログラムでは、Intuneは自動的にWindows Defender Security Center からパッケージを取得し、プロファイルに追加します。 Windows 10 以降に適用されます。

デバイスのセットアップ中にユーザーに接続を要求する

セットアップ中に [ネットワーク] ページを越えて進む前に、デバイスプロファイルを設定して、デバイスがネットワークに接続 Windows 10することを要求できるようになりました。 この機能はプレビュー段階ですが、この設定を使用するには Windows Insider ビルド 1809 以降が必要です。 適用対象: 最新の Windows Insider ビルド (プレビュー中)。

アプリを制限し、iOS および Android Enterprise デバイス上の会社のリソースへのアクセスをブロックします

[デバイス コンプライアンス>ポリシー>Createポリシー>iOS>システム セキュリティ] に、新しい [制限付きアプリケーション] 設定があります。 この新しい設定では、特定のアプリがデバイスにインストールされている場合、コンプライアンス ポリシーを使用して会社のリソースへのアクセスをブロックします。 制限付きアプリがデバイスから削除されるまで、デバイスは非準拠と見なされます。

適用対象: iOS

iOS の最新の VPN サポート更新プログラム

この更新プログラムにより、次の iOS VPN クライアントがサポートされます。

• F5 Access (バージョン 3.0.1 以降)
• Citrix SSO
• Palo Alto Networks GlobalProtect バージョン 5.0 以降

また、この更新プログラムでは次の操作を行います。

• 既存 の F5 Access 接続の種類は、iOS 用 F5 Access レガシ に名前が変更されます。
• 既存の Palo Alto Networks GlobalProtect 接続の種類は、iOS の Palo Alto Networks GlobalProtect (レガシ) に名前が変更されます。 これらの接続の種類を持つ既存のプロファイルは、それぞれのレガシ VPN クライアントで引き続き機能します。 iOS で Cisco Legacy AnyConnect、F5 Access Legacy、Citrix VPN、Palo Alto Networks GlobalProtect バージョン 4.1 以前を使用している場合は、新しいアプリに移動する必要があります。 新しいアプリにできるだけ早く移動して、iOS 12 に更新される iOS デバイスで VPN アクセスを利用できるようにします。

iOS 12 と VPN プロファイルの詳細については、Microsoft Intune サポート チームのブログを参照してください。

Azure クラシック ポータルコンプライアンス ポリシーをエクスポートして、Intune Azure portalでこれらのポリシーを再作成する

Azure クラシック ポータルで作成されたコンプライアンス ポリシーは非推奨になります。 既存のコンプライアンス ポリシーは確認および削除できますが、更新することはできません。 コンプライアンス ポリシーを現在のIntune Azure portalに移行する必要がある場合は、ポリシーをコンマ区切りファイル (.csv ファイル) としてエクスポートできます。 次に、ファイルの詳細を使用して、Intune Azure portalでこれらのポリシーを再作成します。

重要

Azure クラシック ポータルが廃止されると、コンプライアンス ポリシーにアクセスしたり表示したりできなくなります。 そのため、Azure クラシック ポータルが廃止される前に、ポリシーをエクスポートし、Azure portalで再作成してください。

より良いモバイル - 新しいモバイル脅威防御パートナー

Microsoft Intuneと統合されるモバイル脅威防御ソリューションである Better Mobile によって行われたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

デバイスの登録

ユーザーがサインインするまでシングル アプリ モードでポータル サイトをロックする

DEP 登録時にセットアップ アシスタントではなく、ポータル サイトを使用してユーザーを認証する場合は、シングル アプリ モードでポータル サイトを実行できるようになりました。 このオプションは、セットアップ アシスタントが完了した直後にデバイスをロックし、ユーザーがデバイスにアクセスするためにサインインする必要があります。 このプロセスにより、デバイスがオンボードを完了し、ユーザーが関連付けられていない状態で孤立しないようにします。

Autopilot デバイスにユーザー名とフレンドリ名を割り当てる

これで、1 つの Autopilot デバイスにユーザーを割り当てることができます。 管理者は、Autopilot を使用してデバイスを設定するときにユーザーにあいさつするフレンドリ名を付けることもできます。 適用対象: 最新の Windows Insider ビルド (プレビュー中)。

VPP デバイス ライセンスを使用して DEP 登録中にポータル サイトを事前プロビジョニングする

ボリューム購入プログラム (VPP) デバイス ライセンスを使用して、デバイス登録プログラム (DEP) の登録中にポータル サイトを事前にプロビジョニングできるようになりました。 これを行うには、登録プロファイルを作成または編集するときに、ポータル サイトのインストールに使用する VPP トークンを指定します。 トークンの有効期限が切れず、ポータル サイト アプリに十分なライセンスがあることを確認します。 トークンが期限切れになったり、ライセンスが不足したりする場合、Intuneは代わりにApp Store ポータル サイトをプッシュします。 この手順では、Apple ID の入力を求められます。

事前プロビジョニングに使用されている VPP トークンを削除ポータル サイト確認する必要があります

DEP 登録中にトークンを使用してポータル サイトを事前プロビジョニングしている場合、ボリューム購入プログラム (VPP) トークンを削除するための確認が必要になりました。

Windows 個人用デバイスの登録をブロックする

Intuneで Windows 個人用デバイスがモバイル デバイス管理に登録されないようにすることができます。 INTUNE PC エージェントに登録されているデバイスは、この機能ではブロックできません。 この機能は今後数週間にわたってロールアウトされるため、ユーザー インターフェイスにすぐには表示されない場合があります。

Autopilot プロファイルでマシン名パターンを指定する

Autopilot 登録時 にコンピューター名テンプレートを生成 して設定する コンピューター名 テンプレートを指定できます。 適用対象: 最新の Windows Insider ビルド (プレビュー中)。

Windows Autopilot プロファイルの場合は、会社のサインイン ページとドメイン エラー ページでアカウントの変更オプションを非表示にします

管理者が会社のサインインページとドメイン エラー ページでアカウントの変更オプションを非表示にするための 新しい Windows Autopilot プロファイル オプション があります。 これらのオプションを非表示にするには、Microsoft Entra IDで会社のブランドを構成する必要があります。 適用対象: 最新の Windows Insider ビルド (プレビュー中)。

Apple Device Enrollment Program の macOS サポート

Intuneでは、macOS デバイスを Apple Device Enrollment Program (DEP) に登録できるようになりました。 詳細については、「Apple の デバイス登録プログラムを使用して macOS デバイスを自動的に登録する」を参照してください。

デバイス管理

Jamf デバイスを削除する

JAMF で管理されているデバイスを削除するには、[デバイス>] で Jamf デバイス>の削除を選択します。

用語を "廃止" と "ワイプ" に変更する

Graph APIと一致するように、Intuneのユーザー インターフェイスとドキュメントは次の用語を変更しました。

• 会社のデータを削除 すると、"廃止" に変更されます
• 工場出荷時のリセットがワイプに変更されます

管理者が MDM プッシュ証明書の削除を試みる場合の確認ダイアログ

Apple MDM プッシュ証明書を削除しようとすると、関連する iOS デバイスと macOS デバイスの数が確認ダイアログ ボックスに表示されます。 証明書が削除された場合は、これらのデバイスを再登録する必要があります。

Windows インストーラーのセキュリティ設定

ユーザーがアプリのインストールを制御することを許可できます。 有効にすると、セキュリティ違反が原因で停止するインストールを続行できます。 システムにプログラムをインストールするときに、管理者特権のアクセス許可を使用するように Windows インストーラーに指示できます。 また、Windows Information Protection (WIP) 項目のインデックス作成と、暗号化されていない場所に格納されたそれらのアイテムに関するメタデータを有効にすることもできます。 ポリシーが無効になっている場合、WIP で保護されたアイテムのインデックスは作成されず、Cortana またはエクスプローラーの結果には表示されません。 これらのオプションの機能は、既定では無効になっています。

注:

Microsoft は、Windows Cortana スタンドアロン アプリを非推奨にしました。 Cortana の生産性アシスタントは引き続き使用できます。 Windows クライアントの非推奨の機能の詳細については、「Windows クライアントの 非推奨の機能」を参照してください。

Intune ポータル サイトの新しいユーザー エクスペリエンスの更新

顧客からのフィードバックに基づいて、Intune ポータル サイト Web サイトに新機能を追加しています。 ご利用のデバイスから、既存の機能と使いやすさの大幅な向上を体験できます。 サイトの領域 (デバイスの詳細、フィードバックとサポート、デバイスの概要など) は、新しいモダンで応答性の高いデザインを受け取っています。 次の点も改善されています。

• すべてのデバイス プラットフォームにわたる合理化されたワークフロー
• 改善されたデバイスの識別と登録のフロー
• より役立つエラー メッセージ
• 技術的な専門用語を減らした、わかりやすい言語
• アプリへの直接リンクを共有する機能
• 大規模なアプリケーション カタログのパフォーマンスの向上
• すべてのユーザーのアクセシビリティの向上

Intune ポータル サイト Web サイトのドキュメントは、これらの変更を反映するように更新されています。 アプリの機能強化の例については、「エンド ユーザー アプリの UI 更新プログラムIntune参照してください。

監視とトラブルシューティング

コンプライアンス レポートでの脱獄検出の強化

強化された脱獄検出設定の状態が、Intune管理センターのすべてのコンプライアンス レポートに表示されるようになりました。

役割ベースのアクセス制御

ポリシーのスコープ タグ

スコープ タグを作成して、Intune リソースへのアクセスを制限できます。 スコープ タグをロールの割り当てに追加し、スコープ タグを構成プロファイルに追加します。 ロールは、一致するスコープ タグ (またはスコープ タグなし) を持つ構成プロファイルを持つリソースにのみアクセスできます。

2018 年 7 月

アプリ管理

macOS の基幹業務 (LOB) アプリのサポート

Microsoft Intuneを使用すると、macOS LOB アプリを [必須] または [登録時に使用可能] として展開できます。 エンド ユーザーは、macOS 用のポータル サイトまたはポータル サイト Web サイトを使用して、使用可能としてデプロイされたアプリを取得できます。

キオスク モードの iOS 組み込みアプリのサポート

ストア アプリとマネージド アプリに加えて、iOS デバイスでキオスク モードで実行される Built-In アプリ (Safari など) を選択できるようになりました。

Microsoft 365 Apps for enterprise アプリのデプロイを編集する

Microsoft Intune管理者は、Microsoft 365 Apps for enterprise アプリのデプロイを編集する能力が高くなります。 また、スイートのプロパティを変更するために、デプロイを削除する必要もなくなりました。 Azure portalで、[Microsoft Intune>Client apps> Apps] を選択します。 アプリの一覧から、Microsoft 365 Apps for enterprise スイートを選択します。

App SDK for Android Intune更新されました

Android P リリースをサポートするために、Intune App SDK for Android の更新バージョンを使用できます。 アプリ開発者で Android 用 Intune SDK を使用している場合は、Android アプリ内のIntune機能が Android P デバイスで期待どおりに動作し続けるために、Intune アプリ SDK の更新バージョンをインストールする必要があります。 このバージョンの Intune App SDK には、SDK の更新を実行する組み込みのプラグインが用意されています。 統合されている既存のコードを書き換える必要はありません。 詳細については、「android 用 SDK のIntune」を参照してください。 Intuneに古いバッジ スタイルを使用している場合は、ブリーフケース アイコンを使用することをお勧めします。 ブランド化の詳細については、 こちらの GitHub リポジトリを参照してください。

Windows 用ポータル サイト アプリ内での同期の機会の増加

Windows 用ポータル サイト アプリでは、Windows タスク バーと [スタート] メニューから直接同期を開始できるようになりました。 この機能は、ユーザーの作業が会社のリソースへのデバイスの同期とアクセスだけの場合に特に便利です。 新しい機能にアクセスするには、タスク バーまたはスタート メニューにピン留めされているポータル サイト アイコンを右クリックします。 メニュー オプション (ジャンプ リストとも呼ばれる) で、[Sync this device]\(このデバイスを同期\) を選択します。 ポータル サイトが [設定] ページに開き、同期が開始されます。新しい機能については、「UI の新機能」を参照してください。

Windows 用ポータル サイト アプリでの新しい閲覧エクスペリエンス

Windows 用のポータル サイト アプリでアプリを参照または検索するときに、既存のタイル ビューと新しく追加された [詳細] ビューを切り替えることができます。 新しいビューには、名前、発行元、公開日、インストール状態などのアプリケーションの詳細が一覧表示されます。

[アプリ] ページの [インストール済み] ビューでは、完了したアプリのインストールと進行中のアプリのインストールに関する詳細を見ることができます。 新しいビューの外観を確認するには、「 UI の新機能」を参照してください。

デバイス登録マネージャーのポータル サイトアプリ エクスペリエンスの向上

デバイス登録マネージャー (DEM) が Windows 用のポータル サイト アプリにサインインすると、アプリには DEM の現在の実行中のデバイスのみが一覧表示されるようになります。 この改善により、アプリが DEM に登録されているすべてのデバイスを表示しようとしたときに以前に発生したタイムアウトが短縮されます。

承認されていないデバイス ベンダーとモデルに基づいてアプリ アクセスをブロックする

Intune IT 管理者は、Intune App Protection ポリシーを使用して、Android の製造元や iOS モデルの指定されたリストを適用できます。 IT 管理者は、Android ポリシーの製造元と iOS ポリシーのデバイス モデルのセミコロン区切りの一覧を提供できます。 Intuneアプリ保護ポリシーは、Android と iOS 専用です。 この指定したリストに対して実行できるアクションは 2 つあります。

• 指定されていないデバイスでのアプリ アクセスからのブロック。
• または、指定されていないデバイス上の企業データの選択的ワイプ。

ポリシーを通じた要件が満たされていない場合、ユーザーはターゲット アプリケーションにアクセスできません。 設定に基づいて、ユーザーはブロックされるか、アプリ内の企業データを選択的にワイプされる可能性があります。 iOS デバイスでは、この機能を対象アプリケーションに適用するために、この機能をIntune APP SDK を統合するために、アプリケーション (WXP、Outlook、Managed Browser、Viva Engage など) の参加が必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 Android では、この機能には最新のポータル サイトが必要です。

エンド ユーザー デバイスでは、Intune クライアントは、アプリケーション保護ポリシーの [Intune] ブレードで指定された文字列の単純な照合に基づいてアクションを実行します。 この動作は、デバイスが報告する値に完全に依存します。 そのため、IT 管理者は、意図した動作が正確であることを確認することをお勧めします。 精度をチェックするには、小さなユーザー グループを対象とするさまざまなデバイスの製造元とモデルに基づいてこの設定をテストします。 Microsoft Intuneで、[クライアント アプリ>アプリ保護ポリシー] を選択して、アプリ保護ポリシーを表示および追加します。 アプリ保護ポリシーの詳細については、「アプリ保護ポリシーとは」および「アプリ保護ポリシーアクセス アクションを使用してデータを選択的にワイプする」を参照してください。

プレリリース ビルドポータル サイト macOS へのアクセス

Microsoft AutoUpdate を使用すると、Insider プログラムに参加することで、早期にビルドを受け取るためにサインアップできます。 サインアップすると、更新されたポータル サイトをエンド ユーザーが使用できるようになる前に使用できるようになります。 詳細については、Microsoft Intuneブログを参照してください。

デバイス構成

macOS デバイスのファイアウォール設定を使用してデバイス コンプライアンス ポリシーをCreateする

新しい macOS コンプライアンス ポリシー (デバイス コンプライアンス>ポリシー>Createポリシー>プラットフォーム: macOS>システム セキュリティ) を作成すると、使用可能な新しいファイアウォール設定がいくつかあります。

• ファイアウォール: 環境内での受信接続の処理方法を構成します。
• 受信接続: DHCP、Bonjour、IPSec などの基本的なインターネット サービスに必要な接続を除き、すべての受信接続を ブロック します。 この設定では、すべての共有サービスもブロックされます。
• [ステルス モード]: デバイスがプローブ要求に応答しないように、ステルス モードを 有効にします 。 デバイスは、承認されたアプリの受信要求に引き続き応答します。

適用対象: macOS 10.12 以降

Windows 10 以降の新しい Wi-Fi デバイス構成プロファイル

現在、XML ファイルを使用して Wi-Fi プロファイルをインポートおよびエクスポートできます。 この更新プログラムを使用すると、他のプラットフォームと同様に、Wi-Fi デバイス構成プロファイルをIntuneで直接作成できます。

プロファイルを作成するには、デバイス>の構成>Create Windows 10>以降>の Wi-Fi を開きます。

Windows 10 以降に適用されます。

キオスク - 古いバージョンは淡色表示され、変更できません

キオスク (プレビュー) 機能 (デバイス>構成>Create Windows 10>以降>のデバイス制限) は廃止され、Windows 10以降のキオスク設定に置き換えられました。 この更新プログラムでは、 キオスク - 廃止された 機能が淡色表示され、ユーザー インターフェイスを変更または更新することはできません。

キオスク モードを有効にするには、Windows 10 以降のキオスク設定に関するページを参照してください。

Windows 10 以降に適用Windows Holographic for Business

サード パーティ/パートナー証明機関を使用するための API

この更新では、サードパーティの証明機関がIntuneおよび SCEP と統合できるようにする Java API があります。 その後、ユーザーは SCEP 証明書をプロファイルに追加し、MDM を使用してデバイスに適用できます。

現在、Intuneでは Active Directory 証明書サービスを使用した SCEP 要求がサポートされています。

キオスク ブラウザーの [セッションの終了] ボタンを表示または表示しない切り替え

キオスク ブラウザーに [セッションの終了] ボタンが表示されるかどうかを構成できるようになりました。 コントロールは、 デバイス>構成>キオスク (プレビュー)>キオスク Web ブラウザーで確認できます。 オンにすると、ユーザーがボタンを選択すると、セッションを終了するための確認を求めるメッセージが表示されます。 確認すると、ブラウザーはすべての閲覧データをクリアし、既定の URL に戻ります。

eSIM 携帯ネットワーク構成プロファイルをCreateする

[ デバイス>の構成] で、eSIM 携帯ネットワーク プロファイルを作成できます。 携帯電話会社が提供する携帯ネットワーク ライセンス認証コードを含むファイルをインポートできます。 その後、Surface Pro LTE やその他の eSIM 対応デバイスなど、eSIM LTE 対応Windows 10デバイスにこれらのプロファイルを展開できます。

デバイスが eSIM プロファイルをサポートしているかどうかを確認します。

Windows 10 以降に適用されます。

職場または学校へのアクセス設定を使用してデバイス カテゴリを選択する

デバイス グループ マッピングを有効にした場合、Windows 10のユーザーは、[設定アカウント>] [職場または学校へのアクセス]> の [接続] ボタンを使用して登録した後、デバイス カテゴリの選択を求められます。

メール プロファイルのアカウント ユーザー名として sAMAccountName を使用する

オンプレミスの sAMAccountName は、Android、iOS、Windows 10のメール プロファイルのアカウント ユーザー名として使用できます。 Microsoft Entra ID の または ntdomain 属性からdomainドメインを取得することもできます。 または、カスタム静的ドメインを入力します。

この機能を使用するには、オンプレミスの Active Directory環境の属性をMicrosoft Entra IDに同期sAMAccountNameする必要があります。

Android、iOS、Windows 10 以降に適用されます

競合しているデバイス構成プロファイルを確認する

[ デバイス>の構成] に、既存のプロファイルの一覧が表示されます。 この更新プログラムでは、競合しているプロファイルの詳細を提供する新しい列が追加されます。 競合する行を選択して、競合している設定とプロファイルを表示できます。

構成プロファイルの管理の詳細。

デバイス コンプライアンスのデバイスの新しい状態

[デバイス コンプライアンス>ポリシー] で[>概要] ポリシー>を選択すると、次の新しい状態が追加されます。

• 成功
• error
• 競合
• 保留 中
• 適用不可 別のプラットフォームのデバイス数を示す図も示されています。 たとえば、iOS プロファイルを見ている場合、新しいタイルには、このプロファイルにも割り当てられている iOS 以外のデバイスの数が表示されます。 「 デバイス コンプライアンス ポリシー」を参照してください。

デバイス コンプライアンスは、サード パーティ/パートナーのウイルス対策ソリューションをサポートします

デバイス コンプライアンス ポリシー (デバイス コンプライアンス>ポリシー>Createポリシー>プラットフォーム: Windows 10以降>の設定>システム セキュリティ) を作成すると、新しいデバイス セキュリティ オプションがあります。

• ウイルス対策: [必須] に設定すると、Symantec や Windows Defender など、Windows セキュリティ Center に登録されているウイルス対策ソリューションを使用してコンプライアンスをチェックできます。
• スパイウェア対策: [必須] に設定すると、Symantec や Windows Defender など、Windows セキュリティ Center に登録されているスパイウェア対策ソリューションを使用してコンプライアンスをチェックできます。

適用対象: Windows 10以降

デバイスの登録

Samsung Knox Mobile Enrollment を使用して登録された Android デバイスを "企業" として自動的にマークする

既定では、Samsung Knox Mobile Enrollment を使用して登録された Android デバイスは、[デバイスの所有権] で企業としてマークされるようになりました。 Knox Mobile Enrollment を使用して登録する前に、IMEI またはシリアル番号を使用して会社のデバイスを手動で識別する必要はありません。

登録プログラム トークンの一覧の [プロファイルのないデバイス] 列

登録プログラム トークンの一覧には、プロファイルが割り当てされていないデバイスの数を示す新しい列があります。 この機能は、管理者がユーザーに配布する前に、これらのデバイスにプロファイルを割り当てるのに役立ちます。 新しい列を表示するには、デバイス登録Apple 登録>>プログラム トークンに移動します。

デバイス管理

[デバイス上のデバイスの一括削除] ブレード

[デバイス] ブレードで、一度に複数のデバイスを削除できるようになりました。 [デバイス>] [すべてのデバイス>] 削除するデバイスを>選択します。 削除できないデバイスの場合は、アラートが表示されます。

Android for Work と Play for Work の Google 名の変更

Intuneは、Google ブランドの変更を反映するように"Android for Work" の用語を更新しました。 "Android for Work" と "Play for Work" という用語は使用されなくなりました。 コンテキストに応じて異なる用語が使用されます。

• "Android Enterprise" は、最新の Android 管理スタック全体を指します。
• "仕事用プロファイル" または "プロファイル所有者" は、仕事用プロファイルで管理されている BYOD デバイスを指します。
• "マネージド Google Play" は、Google アプリ ストアを指します。

デバイスを削除するための規則

新しいルールを使用すると、設定した日数だけチェックインしていないデバイスを自動的に削除できます。 新しいルールを表示するには、[Intune] ウィンドウに移動し、[デバイス] を選択し、[デバイス クリーンアップ 規則] を選択します。

Android デバイスの企業所有の単一使用サポート

Intuneでは、高度に管理されたロックダウンされたキオスクスタイルの Android デバイスがサポートされるようになりました。 この機能を使用すると、管理者はデバイスの使用状況をさらに 1 つのアプリまたは小規模なアプリ セットにロックダウンできます。 また、ユーザーが他のアプリを有効にしたり、デバイスで他のアクションを実行したりできないようにします。 Android キオスクを設定するには、デバイス登録 Android 登録キオスクとタスク デバイス登録>>Intune>に移動します。 詳細については、「 Android エンタープライズ キオスク デバイスの登録を設定する」を参照してください。

アップロードされた重複する企業デバイス識別子の行ごとのレビュー

企業 ID をアップロードするときに、Intuneは重複の一覧を提供し、既存の情報を置き換えたり、保持したりするオプションを提供するようになりました。 [デバイス登録>] [会社のデバイス識別子] [識別子の追加] を選択した後に重複がある場合、レポートが>表示されます。

会社のデバイス識別子を手動で追加する

会社のデバイス ID を手動で追加できるようになりました。 [デバイス登録>] [会社のデバイス識別子の追加] の順に>選択します。

2018 年 6 月

アプリ管理

Intune アプリ保護ポリシーに対する Microsoft Edge モバイル サポート

モバイル デバイス用の Microsoft Edge ブラウザーで、Intuneで定義されているアプリ保護ポリシーがサポートされるようになりました。

キオスク モードでビジネス向け Microsoft Storeアプリに関連付けられているアプリ ユーザー モデル ID (AUMID) を取得する

Intuneは、キオスク プロファイルの構成を改善するために、ビジネス向け Microsoft Store (WSfB) アプリのアプリ ユーザー モデル ID (AUMID) を取得できるようになりました。

ビジネス向け Microsoft Store アプリの詳細については、「ビジネス向け Microsoft Storeからアプリを管理する」を参照してください。

新しいポータル サイトブランド化ページ

ポータル サイトブランド化ページには、新しいレイアウト、メッセージ、ヒントがあります。

デバイス構成

Pradeo - 新しいモバイル脅威防御パートナー

Microsoft Intuneと統合されたモバイル脅威防御ソリューション Pradeo によって行われたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

NDES 証明書コネクタで FIPS モードを使用する

連邦情報処理標準 (FIPS) モードが有効になっているコンピューターに NDES 証明書コネクタをインストールすると、証明書の発行と取り消しが期待どおりに機能しませんでした。 この更新プログラムでは、FIPS のサポートが NDES 証明書コネクタに含まれています。

この更新プログラムには、次も含まれます。

• NDES 証明書コネクタには.NET 4.5 Framework が必要です。これは、Windows Server 2016と R2 Windows Server 2012に自動的に含まれます。 以前は、.NET 3.5 Framework が最低限必要なバージョンでした。
• TLS 1.2 のサポートは、NDES 証明書コネクタに含まれています。 そのため、NDES 証明書コネクタがインストールされているサーバーが TLS 1.2 をサポートしている場合は、TLS 1.2 が使用されます。 サーバーが TLS 1.2 をサポートしていない場合は、TLS 1.1 が使用されます。 現在、TLS 1.1 は、デバイスとサーバー間の認証に使用されます。

詳細については、「 SCEP 証明書の構成と使用 」および 「PKCS 証明書の構成と使用」を参照してください。

Palo Alto Networks GlobalProtect VPN プロファイルのサポート

この更新プログラムでは、Intuneの VPN プロファイルの VPN 接続の種類として Palo Alto Networks GlobalProtect (デバイス>構成>Create>プロファイルの種類>VPN) を選択できます。 このリリースでは、次のプラットフォームがサポートされています。

• iOS
• Windows 10

ローカル デバイス セキュリティ オプションの設定への追加

Windows 10 デバイスに対して、より多くのローカル デバイス セキュリティ オプション設定を構成できるようになりました。 これらの設定は、Microsoft ネットワーク クライアント、Microsoft ネットワーク サーバー、ネットワーク アクセスとセキュリティ、対話型ログオンの領域で使用できます。 これらの設定は、Windows 10デバイス構成ポリシーを作成するときに[Endpoint Protection]\(エンドポイント保護\) カテゴリにあります。

Windows 10 デバイスでキオスク モードを有効にする

Windows 10デバイスでは、構成プロファイルを作成し、キオスク モード (デバイス>構成>Create Windows 10>以降>のデバイス制限>キオスク) を有効にすることができます。 この更新プログラムでは、 キオスク (プレビュー) 設定の名前が キオスク (廃止) に変更されます。 キオスク (廃止) は使用することは推奨されなくなりましたが、7 月の更新まで機能し続けます。 キオスク (廃止) は、新しいキオスク プロファイルの種類 (Create>Windows 10>Kiosk (プレビュー)) に置き換えられ、Windows 10 RS4 以降でキオスクを構成するための設定が含まれます。

Windows 10 以降に適用されます。

デバイス プロファイルのグラフィカル ユーザー チャートが戻ってきた

デバイス プロファイルのグラフィカル グラフに表示される数値の数を改善しながら (デバイス>構成>で既存のプロファイル>の概要を選択)、グラフィカル ユーザー チャートは一時的に削除されました。

この更新により、グラフィカル ユーザー チャートが戻り、Azure portalに表示されます。

デバイスの登録

ユーザー認証を使用しない Windows Autopilot 登録のサポート

Intuneでは、ユーザー認証なしで Windows Autopilot 登録がサポートされるようになりました。 この機能は、Windows Autopilot 展開プロファイルの [Autopilot 展開モード] が [自己展開] に設定されている新しいオプションです。 デバイスは Insider Preview Build 17672 以降Windows 10実行されており、この種類の登録を正常に完了するために TPM 2.0 チップを所有している必要があります。 ユーザー認証は必要ないため、このオプションは、物理的に制御できるデバイスにのみ割り当てる必要があります。

Autopilot の OOBE を構成するときの新しい言語/リージョン設定

新しい構成設定を使用して、Out of Box Experience の間に Autopilot プロファイルの言語と地域を設定できます。 新しい設定を表示するには、[デバイス登録>] [Windows 登録>] [展開プロファイル>Create プロファイル>展開モード = の自己展開>の既定値が構成されています] を選択します。

デバイス キーボードを構成するための新しい設定

Out of Box Experience の間に Autopilot プロファイルのキーボードを構成するために、新しい設定を使用できるようになります。 新しい設定を表示するには、[デバイス登録>] [Windows 登録>] [展開プロファイル>Create プロファイル>展開モード = の自己展開>の既定値が構成されています] を選択します。

グループ ターゲットに移動する Autopilot プロファイル

Autopilot 展開プロファイルは、Autopilot デバイスを含むMicrosoft Entra グループに割り当てることができます。

デバイス管理

デバイスの場所別にコンプライアンスを設定する

場合によっては、ネットワーク接続によって定義された特定の場所に企業リソースへのアクセスを制限することが必要になる場合があります。 デバイスの IP アドレスに基づいてコンプライアンス ポリシー (デバイス コンプライアンス>の場所) を作成できるようになりました。 デバイスが IP 範囲外に移動した場合、デバイスは企業リソースにアクセスできません。

適用対象: Android デバイス 6.0 以降、更新されたポータル サイト アプリ

Windows 10 Enterprise RS4 Autopilot デバイスでコンシューマー アプリとエクスペリエンスを防止する

Windows 10 Enterprise RS4 Autopilot デバイスにコンシューマー アプリとエクスペリエンスがインストールされないようにすることができます。 この機能を確認するには、Intune Devices>Configuration>Create Windows 10>以降に移動>して、プロファイル>の種類に関するデバイス制限の種類 >Windows スポットライト>コンシューマー機能の構成に関する>ページを参照してください。

Windows 10ソフトウェア更新プログラムから最新のをアンインストールする

Windows 10 マシンで重大な問題が発生した場合は、最新の機能更新プログラムまたは最新の品質更新プログラムをアンインストール (ロールバック) することができます。 機能更新プログラムまたは品質更新プログラムをアンインストールできるのは、デバイスが存在するサービス チャネルの場合のみです。 アンインストールすると、Windows 10 コンピューターで以前の更新プログラムを復元するポリシーがトリガーされます。 特に機能更新プログラムの場合は、最新バージョンのアンインストールを適用できる時間を 2 から 60 日に制限できます。 ソフトウェア更新プログラムのアンインストール オプションを設定するには、Azure portal内の [Microsoft Intune] ブレードで [ソフトウェア更新プログラム] を選択します。 次に、[ソフトウェア更新プログラム] ブレードWindows 10 [更新リング] を選択します。 [概要] セクションから [アンインストール] オプションを選択できます。

IMEI とシリアル番号のすべてのデバイスをSearchする

[すべてのデバイス] ブレードで IMEI とシリアル番号を検索できるようになりました (メール、UPN、デバイス名、管理名は引き続き使用できます)。 Intuneで、[デバイス>] [すべてのデバイス>] を選択し、検索ボックスに検索を入力します。

[管理名] フィールドが編集可能になります

デバイスの [プロパティ ] ブレードの [管理名] フィールドを編集できるようになりました。 このフィールドを編集するには、[デバイス>][すべてのデバイス>]、[デバイス>のプロパティ] の順に選択します。 [管理名] フィールドを使用して、デバイスを一意に識別できます。

新しい [すべてのデバイス] フィルター: [デバイス] カテゴリ

[ すべてのデバイス ] リストをデバイス カテゴリ別にフィルター処理できるようになりました。 これを行うには、[デバイス>] [すべてのデバイス] [フィルター> デバイス>] カテゴリの順に選択します。

TeamViewer を使用して iOS デバイスと macOS デバイスを画面共有する

管理者は TeamViewer に接続し、iOS デバイスと macOS デバイスとの画面共有セッションを開始できるようになりました。 iPhone、iPad、macOS ユーザーは、他のデスクトップまたはモバイル デバイスと画面をライブで共有できます。

複数の Exchange コネクタのサポート

テナントごとに 1 つのMicrosoft Intune Exchange Connectorに制限されなくなりました。 Intuneでは、複数の Exchange コネクタがサポートされるようになりました。複数のオンプレミスの Exchange 組織でIntune条件付きアクセスを設定できるようになりました。

Intuneオンプレミスの Exchange コネクタを使用すると、オンプレミスの Exchange メールボックスへのデバイス アクセスを管理できます。 アクセスは、デバイスがIntuneに登録され、Intuneデバイス コンプライアンス ポリシーに準拠しているかどうかに基づいています。 コネクタを設定するには、Azure portalから Intune オンプレミス Exchange コネクタをダウンロードし、Exchange organizationのサーバーにインストールします。 Microsoft Intune ダッシュボードで [オンプレミス アクセス] を選択し、[セットアップ] で [Exchange ActiveSync コネクタ] を選択します。 Exchange オンプレミス コネクタをダウンロードし、Exchange organizationのサーバーにインストールします。 テナントごとに 1 つの Exchange コネクタに限定されるわけではありません。 そのため、他の Exchange 組織がある場合は、この同じプロセスに従って、追加の Exchange organizationごとにコネクタをダウンロードしてインストールできます。

新しいデバイス ハードウェアの詳細: CCID

チップ カード インターフェイス デバイス (CCID) 情報がデバイスごとに含まれるようになりました。 表示するには、[デバイス>] [すべてのデバイス>] を選択し、[ネットワークの詳細] でデバイス>のハードウェア> チェックを選択します>

すべてのユーザーとすべてのデバイスをスコープ グループとして割り当てる

これで、すべてのユーザー、すべてのデバイス、およびスコープ グループ内のすべてのユーザーとすべてのデバイスを割り当てることができます。 [Intuneロール>] [すべてのロール>] [ポリシーとプロファイル マネージャー>の>割り当て] の順に選択し、割り当て>スコープ (グループ) を選択します。

iOS および macOS デバイスに UDID 情報が含まれるようになりました

iOS デバイスと macOS デバイスの一意のデバイス識別子 (UDID) を表示するには、[ デバイス>] [すべてのデバイス> ] [デバイス >の選択] [ハードウェア] の順に移動します。 UDID は、会社のデバイスでのみ使用できます ([デバイス>] [すべてのデバイス>] で [デバイスのプロパティ>] [デバイス>の所有権] を選択します)。

Intune アプリ

アプリのインストールに関するトラブルシューティングの改善

MICROSOFT INTUNE MDM で管理されるデバイスでは、アプリのインストールが失敗することがあります。 これらのアプリのインストールが失敗した場合、エラーの理由を理解したり、問題のトラブルシューティングを行ったりするのは困難な場合があります。 アプリのトラブルシューティング機能のパブリック プレビューが出荷されます。 マネージド アプリと呼ばれる個々のデバイスの下に新しいノードが表示されます。 このノードには、INTUNE MDM 経由で配信されたアプリが一覧表示されます。 ノード内には、アプリのインストール状態の一覧があります。 個々のアプリを選択すると、その特定のアプリのトラブルシューティング ビューが表示されます。 トラブルシューティング ビューには、アプリの作成、変更、ターゲット設定、デバイスへの配信など、アプリのエンド ツー エンドのライフサイクルが表示されます。 また、アプリのインストールが成功しなかった場合は、エラー コードと、エラーの原因に関する役立つメッセージが表示されます。

アプリ保護ポリシーと Microsoft Edge のIntune

モバイル デバイス (iOS および Android) 用の Microsoft Edge ブラウザーで、Microsoft Intuneアプリ保護ポリシーがサポートされるようになりました。 Microsoft Edge アプリケーションで会社のMicrosoft Entra アカウントでサインインする iOS および Android デバイスのユーザーは、Intuneによって保護されます。 iOS デバイスでは、[ Web コンテンツの管理されたブラウザーを要求 する] ポリシーを使用すると、ブラウザーの管理時にユーザーが Microsoft Edge でリンクを開くことができます。

2018 年 5 月

アプリ管理

アプリ保護ポリシーの構成

Azure portalで、[app Protection サービスのIntune] ブレードに移動するのではなく、Intuneに移動します。 Intune内のアプリ保護ポリシーの場所は 1 つだけになりました。 すべてのアプリ保護ポリシーは、[アプリ保護 ポリシー] の下のIntuneの [モバイル アプリ] ブレードにあります。 この統合は、クラウド管理の管理を簡素化するのに役立ちます。 アプリ保護ポリシーはすべて既にIntuneされており、以前に構成したポリシーを変更できます。 Intune App Policy Protection (APP) ポリシーと条件付きアクセス (CA) ポリシーが条件付きアクセスの下に表示されるようになりました。このポリシーは、[Microsoft Intune] ブレードの [管理] セクション、または [Microsoft Entra ID] ブレードの [セキュリティ] セクションにあります。 条件付きアクセス ポリシーの変更の詳細については、「Microsoft Entra IDの条件付きアクセス」を参照してください。 詳細については、「アプリ保護ポリシーとは」を参照してください。

デバイス構成

ポリシー、アプリ、証明書、ネットワーク プロファイルのインストールを要求する

管理者は、Autopilot デバイスのプロビジョニング中にポリシー、アプリ、証明書、およびネットワーク プロファイルIntuneインストールするまで、エンド ユーザーが WINDOWS 10 RS4 デスクトップにアクセスできないようにブロックできます。 詳細については、「 登録状態の設定」ページを参照してください。

デバイスの登録

Samsung Knox モバイル登録のサポート

Samsung Knox Mobile Enrollment (KME) でIntuneを使用する場合は、会社所有の Android デバイスを多数登録できます。 WiFi または携帯ネットワーク上のユーザーは、初めてデバイスをオンにしたときに、数回タップするだけで登録できます。 Knox 展開アプリを使用する場合、デバイスは Bluetooth または NFC を使用して登録できます。 詳しくは、「Samsung の Knox Mobile Enrollment を使用して Android デバイスを自動的に登録する」をご覧ください。

監視とトラブルシューティング

Windows 10のポータル サイトでのヘルプの要求

Windows 10のポータル サイトは、ユーザーがワークフローを開始して問題に関するヘルプを取得するときに、アプリ ログを Microsoft に直接送信するようになりました。 この機能により、Microsoft に発生した問題のトラブルシューティングと解決が容易になります。

2018 年 4 月

アプリ管理

Android での MAM PIN のパスコードのサポート

Intune管理者は、数値の MAM PIN ではなくパスコードを適用するようにアプリケーション起動要件を設定できます。 構成されている場合、ユーザーは、MAM 対応アプリケーションにアクセスする前にメッセージが表示されたら、パスコードを設定して使用する必要があります。 パスコードは、少なくとも 1 つの特殊文字または大文字/小文字のアルファベットを持つ数値 PIN として定義されます。 Intuneは、既存の数値 PIN と同様の方法でパスコードをサポートします。...最小限の長さを設定できるため、Intune管理センターを介して繰り返し文字とシーケンスを許可できます。 この機能には、Android 上の最新バージョンのポータル サイトが必要です。 この機能は既に iOS で使用できます。

macOS の基幹業務 (LOB) アプリのサポート

Microsoft Intuneでは、Azure portalから macOS LOB アプリをインストールする機能が提供されます。 macOS LOB アプリは、GitHub で利用可能なツールによって事前に処理された後で、Intuneに追加できます。 Azure portalで、[Intune] ブレードから [クライアント アプリ] を選択します。 [クライアント アプリ] ブレードで、[アプリ>の追加] を選択します。 [ アプリの追加] ブレード で、[基幹業務アプリ] を選択します。

Android Enterprise 仕事用プロファイル アプリの割り当て用の組み込みの [すべてのユーザー] と [すべてのデバイス] グループ

Android Enterprise 仕事用プロファイル アプリの割り当てには、組み込みの [すべてのユーザー ] グループと [ すべてのデバイス ] グループを使用できます。 詳細については、「Microsoft Intuneにアプリの割り当てを含める/除外する」を参照してください。

Intuneは、ユーザーによってアンインストールされた必要なアプリを再インストールします

エンド ユーザーが必要なアプリをアンインストールした場合、Intuneは 7 日間の再評価サイクルを待つのではなく、24 時間以内にアプリを自動的に再インストールします。

アプリ保護ポリシーを構成する場所を更新する

Microsoft Intune サービス内のAzure portalで、[Intune App Protection サービス] ブレードから [モバイル アプリ] ブレードに一時的にリダイレクトします。 すべてのアプリ保護ポリシーは、アプリ構成の下のIntuneの [モバイル アプリ] ブレードに既に存在します。 App Protection をIntuneする代わりに、Intuneに移動します。 2018 年 4 月には、リダイレクトを停止し、Intune App Protection サービス ブレードを完全に削除して、Intune内のアプリ保護ポリシーの場所が 1 つだけになるようにします。

どのような影響がありますか? この変更は、Intuneスタンドアロンのお客様とハイブリッド (Intune Configuration Manager) のお客様の両方に影響します。 この統合は、クラウド管理の管理を簡素化するのに役立ちます。

この変更に関してどのような準備をすればよいのですか? Intune App Protection サービス ブレードではなく、Intuneをお気に入りとしてタグ付けし、Intune内の [モバイル アプリ] ブレードのアプリ保護 ポリシー ワークフローを理解していることを確認します。 しばらくの間リダイレクトし、[ App Protection ] ブレードを削除します。 アプリ保護ポリシーはすべて既にIntuneされており、任意の条件付きアクセス ポリシーを変更できます。 条件付きアクセス ポリシーの変更の詳細については、「Microsoft Entra IDの条件付きアクセス」を参照してください。 詳細については、「アプリ保護ポリシーとは」を参照してください。

デバイス構成

デバイス プロファイルのグラフと状態の一覧には、グループ内のすべてのデバイスが表示されます

デバイス プロファイル (デバイス>構成) を構成する場合は、iOS などのデバイス プロファイルを選択します。 このプロファイルは、iOS デバイスと iOS 以外のデバイスを含むグループに割り当てます。 グラフィカル グラフの数は、プロファイルが iOS デバイスと iOS 以外のデバイスに適用されていることを示しています (デバイス>構成>では、既存のプロファイル>の [概要] を選択します)。 [ 概要 ] タブでグラフィカル グラフを選択すると、[ デバイスの状態 ] には、iOS デバイスだけでなく、グループ内のすべてのデバイスが一覧表示されます。

この更新プログラムでは、グラフィカル グラフ ([デバイス>構成>] で既存のプロファイル>を選択する [概要] ) には、特定のデバイス プロファイルの数のみが表示されます。 たとえば、構成デバイス プロファイルが iOS デバイスに適用される場合、グラフには iOS デバイスの数のみが一覧表示されます。 グラフィカル チャートを選択し、[ デバイスの状態 ] を開くと、iOS デバイスのみが一覧表示されます。

この更新が行われている間、グラフィカル ユーザー チャートは一時的に削除されます。

Always On VPN for Windows 10

現在、Always Onは、OMA-URI を使用して作成されたカスタム仮想プライベート ネットワーク (VPN) プロファイルを使用して、Windows 10 デバイスで使用できます。

この更新プログラムを使用すると、管理者はAzure portalのIntuneで直接、Windows 10 VPN プロファイルのAlways Onを有効にすることができます。 Always On VPN プロファイルは、次の場合に自動的に接続されます。

• ユーザーが自分のデバイスにサインインする
• デバイス上のネットワークが変更される
• オフにした後、デバイスの画面がオンに戻ります

教育機関向けプロファイルの新しいプリンター設定

教育機関向けプロファイルでは、[プリンター] カテゴリの [プリンター]、[既定のプリンター]、[新しいプリンターの追加] の下で新しい設定を使用できます。

個人プロファイルに発信者 ID を表示する - Android Enterprise 仕事用プロファイル

デバイスで個人プロファイルを使用する場合、エンド ユーザーに仕事用連絡先からの発信者 ID の詳細が表示されない場合があります。

この更新プログラムでは、 Android Enterprise>Device の制限>の [仕事用プロファイルの設定] に新しい設定があります。

• 個人用プロファイルに仕事用連絡先の発信者 ID を表示する

有効 (未構成) の場合、仕事用連絡先の発信者の詳細が個人用プロファイルに表示されます。 ブロックされると、仕事用連絡先の発信者番号は個人用プロファイルに表示されません。

適用対象: Android OS v6.0 以降の Android 仕事用プロファイル デバイス

エンドポイント保護設定に追加された新しいWindows Defender Credential Guard 設定

この更新プログラムでは、Credential Guard Windows Defender (デバイス>構成>エンドポイント保護) には、次の設定が含まれています。

• Windows Defender Credential Guard: 仮想化ベースのセキュリティで Credential Guard をオンにします。 この機能を有効にすると、セキュア ブートと仮想化ベースのセキュリティを使用したプラットフォーム セキュリティ レベルの両方が有効になっている場合に、次回の再起動時に資格情報を保護できます。 オプションは以下のとおりです。

  • 無効: [ ロックなしで有効] オプションを使用して Credential Guard が以前にオンになっていた場合は、資格情報ガードがリモートでオフになります。

  • UEFI ロックで有効: レジストリ キーまたはグループ ポリシーを使用して Credential Guard を無効にできないようにします。 この設定を使用した後で Credential Guard を無効にするには、グループ ポリシーを [無効] に設定する必要があります。 次に、物理的に存在するユーザーを使用して、各コンピューターからセキュリティ機能を削除します。 次の手順では、UEFI で永続化された構成をクリアします。 UEFI 構成が維持される限り、Credential Guard が有効になります。

  • ロックなしで有効: グループ ポリシーを使用して資格情報ガードをリモートで無効にすることができます。 この設定を使用するデバイスは、少なくとも Windows 10 (バージョン 1511) を実行している必要があります。

Credential Guard を構成すると、次の依存テクノロジが自動的に有効になります。

• 仮想化ベースのセキュリティ (VBS) を有効にする: 次回の再起動時に仮想化ベースのセキュリティ (VBS) を有効にします。 仮想化ベースのセキュリティでは、Windows ハイパーバイザーを使用してセキュリティ サービスがサポートされ、セキュア ブートが必要です。
• ダイレクト メモリ アクセス (DMA) を使用したセキュア ブート: セキュア ブートとダイレクト メモリ アクセスを使用して VBS をオンにします。 DMA 保護にはハードウェアのサポートが必要であり、適切に構成されたデバイスでのみ有効になります。

SCEP 証明書でカスタムサブジェクト名を使用する

ONPremisesSamAccountName は、SCEP 証明書プロファイルのカスタムサブジェクトの共通名を使用できます。 たとえば、 を使用 CN={OnPremisesSamAccountName})できます。

Android Enterprise の仕事用プロファイルでカメラと画面のキャプチャをブロックする

Android デバイスのデバイス制限を構成するときにブロックするために、次の 2 つの新しいプロパティを使用できます。

• カメラ: デバイス上のすべてのカメラへのアクセスをブロックします
• 画面キャプチャ: 画面キャプチャをブロックし、セキュリティで保護されたビデオ出力がないディスプレイ デバイスにコンテンツが表示されないようにします

Android Enterprise の仕事用プロファイルに適用されます。

iOS 用の Cisco AnyConnect クライアントを使用する

iOS 用の新しい VPN プロファイルを作成するときに、 Cisco AnyConnect と Cisco Legacy AnyConnect の 2 つのオプションがあります。 Cisco AnyConnect プロファイルでは、4.0.7x 以降のバージョンがサポートされています。 既存の iOS Cisco AnyConnect VPN プロファイルには 、Cisco Legacy AnyConnect というラベルが付けられます。現在と同様に、引き続き Cisco AnyConnect 4.0.5x 以前のバージョンで動作します。

注:

この変更は iOS にのみ適用されます。 引き続き、Android、Android Enterprise 仕事用プロファイル、macOS プラットフォーム用の Cisco AnyConnect オプションは 1 つだけです。

デバイスの登録

macOS High Sierra 10.13.2 以降のデバイス上のユーザーの新しい登録手順

macOS high Sierra 10.13.2 では、"User Approved" MDM 登録の概念が導入されました。 承認済みの登録を使用すると、Intuneでセキュリティに依存する設定を管理できます。 詳細については、Apple のサポート ドキュメントを参照してください。 https://support.apple.com/HT208019

macOS ポータル サイトを使用して登録されたデバイスは、エンド ユーザーがシステム環境設定を開き、手動で承認を提供しない限り、"ユーザーが承認されていません" と見なされます。 このため、macOS ポータル サイトでは、macOS 10.13.2 以降のユーザーに対して、登録プロセスの終了時に登録を手動で承認するように指示されるようになりました。 Intune管理センターは、登録済みのデバイスがユーザーの承認を受けたかどうかを報告します。

Jamf 登録済みの macOS デバイスをIntuneに登録できるようになりました

macOS ポータル サイトのバージョン 1.3 および 1.4 では、Jamf デバイスをIntuneに正常に登録できませんでした。 macOS ポータルのバージョン 1.4.2 では、この問題が解決されます。

Android 用アプリのヘルプ エクスペリエンスポータル サイト更新しました

Android 用のポータル サイト アプリのヘルプ エクスペリエンスが、Android プラットフォームのベスト プラクティスに合わせて更新されました。 これで、ユーザーがアプリで問題が発生したときに、[メニューのヘルプ]> をタップし、次のことができます。

• 診断ログを Microsoft にアップロードします。
• 問題とインシデント ID を記載したメールを会社のサポート担当者に送信します。

更新されたヘルプ エクスペリエンスをチェックするには、「ポータル サイトまたは Android 用アプリで問題Intune報告する」を参照してください。

新しい登録エラーの傾向グラフと失敗の理由テーブル

[登録の概要] ページでは、登録エラーの傾向と障害の上位 5 つの原因を確認できます。 グラフまたはテーブルを選択すると、詳細を詳しく調べて、トラブルシューティングのアドバイスや修復の提案を見つけることができます。

デバイス管理

Defender for Endpoint と Intuneは完全に統合されています

Defender for Endpoint は、Windows 10 デバイスのリスク レベルを示します。 Windows Defender Security Center では、Microsoft Intuneへの接続を作成できます。 作成後、Intuneコンプライアンス ポリシーを使用して、許容される脅威レベルを決定します。 脅威レベルを超えた場合、Microsoft Entra条件付きアクセス ポリシーは、organization内のさまざまなアプリへのアクセスをブロックできます。

この機能により、Defender for Endpoint はファイルのスキャン、脅威の検出、Windows 10 デバイスのリスクの報告を行うことができます。

Intuneでの条件付きアクセスによる Defender for Endpoint の有効化に関するページを参照してください。

ユーザーレス デバイスのサポート

Intuneでは、Microsoft Surface Hubなどのユーザーレス デバイスでのコンプライアンスを評価する機能がサポートされています。 コンプライアンス ポリシーは、特定のデバイスを対象にすることができます。 そのため、ユーザーが関連付けられていないデバイスに対してコンプライアンス (および非準拠) を決定できます。

Autopilot デバイスの削除

管理者Intune Autopilot デバイスを削除できます。

デバイスの削除エクスペリエンスの向上

Intuneからデバイスを削除する前に、会社のデータを削除したり、デバイスを工場出荷時の状態にリセットしたりする必要がなくなりました。

新しいエクスペリエンスを確認するには、Intuneにサインインし、[デバイス>] [すべてのデバイス>] デバイスの名前 [削除] を>選択します。

それでもワイプ/廃止の確認が必要な場合は、削除前に [会社データの削除 ] と [ ファクトリ リセット ] を発行することで、標準のデバイス ライフサイクル ルートを使用できます。

紛失モードの場合に iOS でサウンドを再生する

監視対象の iOS デバイスが Mobile デバイス管理 (MDM) の紛失モードになっている場合は、サウンドを再生できます (デバイス>すべてのデバイス>で iOS デバイス>を選択する概要>その他)。 サウンドは、デバイスが紛失モードから削除されるか、ユーザーがデバイスのサウンドを無効にするまで再生を続けます。 iOS デバイス 9.3 以降に適用されます。

Intune デバイスで行われた検索で Web 結果をブロックまたは許可する

管理者は、デバイスで行われた検索からの Web 結果をブロックできるようになりました。

Apple MDM プッシュ証明書のアップロードエラーに関するエラー メッセージの改善

エラー メッセージは、既存の MDM 証明書を更新するときに同じ Apple ID を使用する必要があることを説明します。

仮想マシン上の macOS のポータル サイトをテストする

It 管理者が Parallels Desktop と VMware Fusion の仮想マシンで macOS 用のポータル サイト アプリをテストするのに役立つガイダンスを公開しました。 詳細については、「 テスト用に仮想 macOS マシンを登録する」を参照してください。

Intune アプリ

iOS 用ポータル サイト アプリに関するユーザー エクスペリエンスの更新プログラム

iOS 用のポータル サイト アプリに対する主要なユーザー エクスペリエンス更新プログラムをリリースしました。 この更新プログラムでは、ビジュアル面の完全な再設計により、最新の外観に一新されています。 アプリの機能が更新されていますが、その使いやすさとアクセシビリティも向上しています。

次の点も改善されています。

• iPhone X のサポート。
• アプリの起動時間と応答の読み込み時間の短縮。
• 最新の状態情報をユーザーに提供するための進行状況バーが増えています。
• 物事が正しく進まなかった場合、それを報告しやすくするためのログのアップロード方法の向上。

更新された外観を表示するには、 アプリ UI の [新機能] に移動します。

Intune APP と CA を使用してオンプレミスの Exchange データを保護する

Intuneアプリ ポリシー保護 (APP) と条件付きアクセス (CA) を使用して、Outlook Mobile を使用してオンプレミスの Exchange データへのアクセスを保護できるようになりました。 Azure portal内でアプリ保護ポリシーを追加または変更するには、[Microsoft Intune>Client アプリ>アプリ保護 ポリシー] を選択します。 この機能を使用する前に、 Outlook for iOS と Android の要件を満たしていることを確認してください。

ユーザー インターフェイス

Windows 10 ポータル サイトのデバイス タイルの改善

タイルが更新され、視覚障穣ユーザーがよりアクセスしやすくなっており、画面読み取りツールのパフォーマンスが向上しました。

macOS 用アプリで診断レポートポータル サイト送信する

macOS デバイス用のポータル サイト アプリが更新され、ユーザーがIntune関連するエラーを報告する方法が改善されました。 ポータル サイト アプリから、従業員は次のことができます。

• 診断レポートを Microsoft 開発者チームに直接アップロードします。
• 会社の IT サポート チームにインシデント ID をEmailします。

詳細については、「 macOS の送信エラー」を参照してください。

Intuneは、Windows 10用のポータル サイト アプリのFluent Design Systemに適応します

Windows 10 の Intune ポータル サイト アプリは、Fluent Design System のナビゲーション ビューで更新済みです。 アプリの側面だけでなく、すべてのトップ レベルのページに静的な縦方向リストが表示されます。 任意のリンクを選択すると、ページをすばやく表示および切り替えることができます。 この機能は、Intuneでよりアダプティブで共感的で使い慣れたエクスペリエンスを作成するための継続的な取り組みの一環として、いくつかの更新プログラムの最初の機能です。 更新された外観を表示するには、 アプリ UI の [新機能] に移動します。

2018 年 3 月

アプリ管理

Microsoft Intuneの iOS 基幹業務 (LOB) アプリの期限切れについてのアラート

Azure portalで、有効期限が切れようとしている iOS 基幹業務アプリにIntuneアラートが表示されます。 iOS 基幹業務アプリの新しいバージョンをアップロードすると、Intuneアプリの一覧から有効期限通知が削除されます。 この有効期限通知は、新しくアップロードされた iOS 基幹業務アプリに対してのみ有効になります。 iOS LOB アプリ プロビジョニング プロファイルの有効期限が切れる 30 日前に警告が表示されます。 有効期限が切れると、アラートは [期限切れ] に変わります。

16 進コードを使用してポータル サイトテーマをカスタマイズする

16 進コードを使用して、ポータル サイト アプリでテーマの色をカスタマイズできます。 16 進コードを入力すると、Intuneは、テキストの色と背景色の間の最高レベルのコントラストを提供するテキストの色を決定します。 クライアント アプリ>ポータル サイトの色に対して、テキストの色と会社のロゴの両方をプレビューできます。

Android Enterprise のグループに基づくアプリの割り当てを含め、除外する

Android Enterprise (旧称 Android for Work) では、グループの含みと除外がサポートされていますが、事前に作成されたすべての ユーザー と すべてのデバイス の組み込みグループはサポートされていません。 詳細については、「Microsoft Intuneにアプリの割り当てを含める/除外する」を参照してください。

デバイス管理

IE、Microsoft Edge、または Chrome のすべてのデバイスを CSV ファイルにエクスポートする

[ デバイス>] [すべてのデバイス] で、デバイスを CSV 形式の一覧に エクスポート できます。 10,000 台のデバイスを持つ>インターネット エクスプローラー (IE) ユーザーは、デバイスを複数のファイルに正常にエクスポートできます。 各ファイルには、最大 10,000 台のデバイスがあります。

30,000 台のデバイスを持つ >Microsoft Edge ユーザーと Chrome ユーザーは、デバイスを複数のファイルに正常にエクスポートできます。 各ファイルには、最大 30,000 台のデバイスがあります。

[デバイスの管理 ] では、管理するデバイスで実行できる操作の詳細が提供されます。

Intune サービスの新しいセキュリティ強化

Azure Intuneでは、スタンドアロンのお客様 Intuneがポリシーが割り当てられないデバイスの扱い (セキュリティ機能がオフ) またはこれらのデバイスを非準拠 (セキュリティ機能オン) として扱うために使用できるトグルを Azure で導入しました。 この機能により、デバイスのコンプライアンスが評価された後にのみリソースへのアクセスが保証されます。

この機能は、コンプライアンス ポリシーが既に割り当てられているかどうかによって異なります。

• 新規または既存のアカウントで、デバイスにコンプライアンス ポリシーが割り当てられない場合、トグルは自動的に [準拠] に設定されます。 この機能は、コンソールの既定の設定としてオフになっています。 エンド ユーザーへの影響はありません。
• 既存のアカウントで、コンプライアンス ポリシーが割り当てられているデバイスがある場合、トグルは自動的に [準拠なし] に設定されます。 3 月の更新プログラムがロールアウトされると、この機能は既定の設定としてオンになっています。

条件付きアクセス (CA) でコンプライアンス ポリシーを使用し、機能を有効にしている場合、少なくとも 1 つのコンプライアンス ポリシーが割り当てされていないデバイスは CA によってブロックされます。 以前にメールへのアクセスを許可されていたこれらのデバイスに関連付けられているエンド ユーザーは、すべてのデバイスに少なくとも 1 つのコンプライアンス ポリシーを割り当てない限り、アクセス権を失います。

既定のトグル状態は、Intune サービスの 3 月の更新ですぐに UI に表示されますが、このトグル状態はすぐには適用されません。 トグルに対して行った変更は、アカウントが動作中のトグルを持つようフライトするまで、デバイスのコンプライアンスに影響しません。 アカウントのフライトが完了すると、メッセージ センターから通知されます。 フライトは、Intune サービスが 3 月に更新されてから数日かかる場合があります。

詳細については、「」を参照してください https://aka.ms/compliance_policies。

脱獄検出の強化

脱獄検出の強化は、脱獄されたデバイスIntune評価する方法を改善する新しいコンプライアンス設定です。 この設定により、デバイスの位置情報サービスを使用し、バッテリの使用状況に影響を与える、Intuneを使用してデバイスをチェックする頻度が高くなります。

Android O デバイスのパスワードをリセットする

Work プロファイルを使用して、登録済みの Android 8.0 デバイスのパスワードをリセットできます。 Android 8.0 デバイスに "パスワードのリセット" 要求を送信すると、新しいデバイスのロック解除パスワードまたはマネージド プロファイルチャレンジが現在のユーザーに設定されます。 パスワードまたはチャレンジが送信され、すぐに有効になります。

デバイス グループ内のデバイスへのコンプライアンス ポリシーのターゲット設定

コンプライアンス ポリシーは、ユーザー グループ内のユーザーを対象にすることができます。 この更新プログラムを使用すると、デバイス グループ内のデバイスにコンプライアンス ポリシーをターゲットにすることができます。 デバイス グループの一部として対象となるデバイスは、コンプライアンスアクションを受け取りません。

[新しい管理名] 列

[ 管理名 ] という名前の新しい列が [デバイス] ブレードで使用できます。 この列は、次の式に基づいて、デバイスごとに割り当てられた自動生成された編集不可の名前です。

• すべてのデバイスの既定の名前: 〈username〉〈em〉〈devicetype〉〈/em〉〈enrollmenttimestamp〉
• 一括追加されたデバイスの場合: 〈PackageId/ProfileId〉〈em〉〈DeviceType〉〈/em〉〈EnrollmentTime〉

この列は、[デバイス] ブレードでは省略可能です。 既定では使用できないため、列セレクターを使用してのみアクセスできます。 デバイス名は、この新しい列の影響を受けません。

iOS デバイスは、15 分ごとに PIN の入力を求められます

コンプライアンスまたは構成ポリシーが iOS デバイスに適用されると、ユーザーは 15 分ごとに PIN を設定するように求められます。 PIN が設定されるまで、ユーザーに継続的にメッセージが表示されます。

自動更新をスケジュールする

Intuneでは、リング設定を使用して自動更新をインストールWindows Update制御できます。 この更新プログラムを使用すると、週、日、時刻など、再発する更新プログラムをスケジュールできます。

SCEP 証明書のサブジェクトとして完全に識別された名前を使用する

SCEP 証明書プロファイルを作成するときに、サブジェクト名を入力します。 この更新プログラムでは、完全に区別された名前をサブジェクトとして使用できます。 [ サブジェクト名] で[ カスタム] を選択し、「」と入力 CN={{OnPrem_Distinguished_Name}}します。 変数を{{OnPrem_Distinguished_Name}}使用するには、Microsoft Entra Connect をonpremisesdistingishedname使用してユーザー属性をMicrosoft Entra IDに同期してください。

デバイス構成

Bluetooth 連絡先共有を有効にする - Android for Work

既定では、Android では、仕事用プロファイル内の連絡先が Bluetooth デバイスと同期できなくなります。 その結果、Bluetooth デバイスの発信者 ID に仕事用プロファイルの連絡先は表示されません。

この更新プログラムでは、Android for WorkDevice の制限>の仕事>用プロファイル設定に新しい設定があります。

• Bluetooth 経由での連絡先の共有

Intune管理者は、共有を有効にするためにこれらの設定を構成できます。 この機能は、ハンズフリーで使用するために発信者 ID を表示する自動車ベースの Bluetooth デバイスとデバイスをペアリングする場合に便利です。 有効にすると、仕事用プロファイルの連絡先が表示されます。 有効になっていない場合、仕事用プロファイルの連絡先は表示されません。

macOS アプリのダウンロード ソースを制御するように Gatekeeper を構成する

アプリのダウンロード元を制御することで、デバイスをアプリから保護するように Gatekeeper を構成できます。 Mac App Store、Mac App Store、識別された開発者、または Anywhere のダウンロード ソースを構成できます。 ユーザーが control-click を使用してアプリをインストールして、これらのゲートキーパー コントロールをオーバーライドできるかどうかを構成できます。

これらの設定は、[デバイス>の構成Create>>macOS>エンドポイント保護] にあります。

Mac アプリケーション ファイアウォールを構成する

Mac アプリケーション ファイアウォールを構成できます。 アプリケーション ファイアウォールを使用すると、ポートごとにではなく、アプリケーションごとに接続を制御できます。 この機能により、ファイアウォール保護の利点を簡単に取得でき、望ましくないアプリが正当なアプリ用に開いているネットワーク ポートを制御できないようにすることができます。

この機能は、デバイス>の構成>Create>macOS>エンドポイント保護に関するページにあります。

ファイアウォール設定を有効にしたら、次の 2 つの方法を使用してファイアウォールを構成できます。

• すべての受信接続をブロックする

  対象デバイスのすべての受信接続をブロックできます。 これを行う場合、受信接続はすべてのアプリでブロックされます。

• 特定のアプリを許可またはブロックする

  特定のアプリが受信接続を受信することを許可またはブロックできます。 また、プローブ要求への応答を防ぐために、ステルス モードを有効にすることもできます。

詳細なエラー コードとメッセージ

デバイス構成には、より詳細なエラー コードとエラー メッセージが表示されます。 この改善されたレポートには、設定、これらの設定の状態、トラブルシューティングの詳細が表示されます。

詳細

• すべての受信接続をブロックする

  この設定により、すべての共有サービス (ファイル共有や画面共有など) が受信接続を受信できないようにブロックされます。 受信接続の受信が引き続き許可されているシステム サービスは次のとおりです。

  • configd - DHCP およびその他のネットワーク構成サービスを実装します

  • mDNSResponder - Bonjour を実装します

  • racoon - IPSec を実装します

    共有サービスを使用するには、[ 受信接続] が [ 未構成 ] ( ブロックではない) に設定されていることを確認します。

• ステルス モード

  コンピューターがプローブ要求に応答できないようにするには、この設定を有効にします。 コンピューターは、承認されたアプリの受信要求に引き続き応答します。 ICMP (ping) などの予期しない要求は無視されます。

デバイスの再起動時にチェックを無効にする

Intuneを使用すると、ソフトウェア更新プログラムを管理できます。 この更新プログラムでは、 Restart checks プロパティを使用でき、既定で有効になっています。 デバイスを再起動するときに発生する一般的なチェック (アクティブ ユーザー、バッテリー レベルなど) をスキップするには、[スキップ] を選択 します。

デプロイ リングで使用できる新しいWindows 10 Insider Preview チャネル

Windows 10展開リングを作成するときに、次のWindows 10 Insider Preview サービス チャネルを選択できるようになりました。

• Windows Insider ビルド - 高速
• Windows Insider ビルド - 低速
• Windows Insider ビルドをリリースする

これらのチャネルの詳細については、「 Insider Preview ビルドの管理」を参照してください。 Intuneでの展開チャネルの作成の詳細については、「Intuneでのソフトウェア更新プログラムの管理」を参照してください。

新しいWindows Defender Exploit Guard 設定

6 つの新しい 攻撃面の縮小 設定と拡張された フォルダー アクセスの制御: フォルダー保護機能 が利用可能になりました。 これらの設定は、デバイス構成\プロファイルにあります。
Create profile\Endpoint protection\Windows Defender Exploit Guard。

攻撃面の縮小

設定名	オプションを設定する	説明
高度なランサムウェア保護	有効、監査、未構成	積極的なランサムウェア保護を使用します。
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用にフラグを設定する	有効、監査、未構成	Windows ローカル セキュリティ機関サブシステム (lsass.exe) から資格情報を盗むフラグを設定します。
PSExec コマンドと WMI コマンドからのプロセス作成	ブロック、監査、未構成	PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックします。
USB から実行される信頼されていないプロセスと署名されていないプロセス	ブロック、監査、未構成	USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。
普及率、年齢、または信頼できるリストの条件を満たしていない実行可能ファイル	ブロック、監査、未構成	有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックします。

コントロールされたフォルダー アクセス

設定名	オプションを設定する	説明
フォルダー保護 (既に実装済み)	未構成、有効化、監査のみ (既に実装済み) New ディスクの変更をブロックする、ディスクの変更を監査する

不正なアプリによる未承認の変更からファイルとフォルダーを保護します。

有効にする: 信頼されていないアプリが保護されたフォルダー内のファイルを変更または削除したり、ディスク セクターに書き込んだりできないようにします。

ディスクの変更のみをブロックします。
信頼されていないアプリがディスク セクターに書き込むのをブロックします。 信頼されていないアプリでも、保護されたフォルダー内のファイルを変更または削除できます。|

Intune アプリ

Microsoft Entra Web サイトでは、Intune Managed Browser アプリを必要とし、マネージド ブラウザー (パブリック プレビュー) のシングル サインオンをサポートできます

Microsoft Entra IDを使用して、モバイル デバイス上の Web サイトへのアクセスをIntune Managed Browser アプリに制限できるようになりました。 マネージド ブラウザーでは、Web サイトのデータはセキュリティで保護され、エンド ユーザーの個人データとは分離されます。 さらに、マネージド ブラウザーでは、Microsoft Entra IDによって保護されたサイトのシングル サインオン機能がサポートされます。 マネージド ブラウザーにサインインするか、Intuneによって管理されている別のアプリを使用してデバイス上のマネージド ブラウザーを使用すると、マネージド ブラウザーは、Microsoft Entra IDによって保護された企業サイトにアクセスできます。 エンド ユーザーは資格情報を入力する必要はありません。

この機能は、Outlook Web Access (OWA) や SharePoint Online などのサイトや、Azure アプリ プロキシを介してアクセスされるイントラネット リソースなどの他の企業サイトに適用されます。 詳細については、「条件付きアクセスのアクセス制御」Microsoft Entra参照してください。

Android ビジュアル更新プログラム用のアプリをポータル サイトする

Android 用 Intune ポータル サイト アプリを、Android のマテリアル デザイン ガイドラインに合わせて更新しています。 新しいアイコンの画像は、 アプリ UI の新機能に 関する記事で確認できます。

ポータル サイト登録の改善

ビルド 1709 以降Windows 10ポータル サイトを使用してデバイスを登録するユーザーは、アプリを離れずに登録の最初の手順を完了できるようになりました。

HoloLens と Surface Hub がデバイス リストに表示されるようになりました

Android 用のポータル サイト アプリにIntune登録された HoloLens デバイスと Surface Hub デバイスを表示するためのサポートを追加しました。

ボリューム購入プログラム (VPP) eBooks のカスタム ブック カテゴリ

カスタム eBook カテゴリを作成し、それらのカスタム eBook カテゴリに VPP eBook を割り当てることができます。 エンド ユーザーは、新しく作成された eBook カテゴリと、カテゴリに割り当てられた書籍を表示できます。 詳細については、「Microsoft Intune によるボリューム購入アプリとブックの管理」を参照してください。

Windows 送信フィードバック オプションポータル サイトアプリの変更をサポートする

2018 年 4 月 30 日以降、Windows 用ポータル サイト アプリの [フィードバックの送信] オプションは、Windows 10 Anniversary Update (1607) 以降を実行しているデバイスでのみ機能します。 Windows 用のポータル サイト アプリを次のように使用する場合、フィードバックを送信するオプションはサポートされなくなりました。

• Windows 10、1507 リリース
• Windows 10、1511 リリース
• Windows Phone 8.1

デバイスが RS1 以降Windows 10実行されている場合は、最新バージョンの Windows ポータル サイト アプリをストアからダウンロードします。 サポートされていないバージョンを実行している場合は、次のチャネルを通じて引き続きフィードバックを送信してください。

• Windows 10のフィードバック ハブ アプリ
• Email WinCPfeedback@microsoft.com

新しいWindows Defender Application Guard設定

• グラフィックス アクセラレーションを有効にする: 管理者は、Windows Defender Application Guardの仮想グラフィックス プロセッサを有効にすることができます。 この設定:

  • CPU がグラフィックス レンダリングを vGPU にオフロードできるようにします。
  • グラフィックスの強い Web サイトを操作したり、コンテナー内でビデオを見ているときのパフォーマンスを向上させることができます。

• SaveFilestoHost: 管理者は、コンテナーで実行されている Microsoft Edge からホスト ファイル システムにファイルを渡すことができます。 この設定をオンにすると、ユーザーはコンテナー内の Microsoft Edge からホスト ファイル システムにファイルをダウンロードできます。

管理状態に基づいて対象となる MAM 保護ポリシー

デバイスの管理状態に基づいて MAM ポリシーをターゲットにすることができます。

• Android デバイス - 管理されていないデバイス、管理対象デバイスのIntune、管理対象の Android エンタープライズ プロファイル (旧称 Android for Work) のIntuneをターゲットにすることができます。

• iOS デバイス - アンマネージド デバイス (MAM のみ) または管理対象デバイスIntuneターゲットにすることができます。

  注:

  • この機能に対する iOS のサポートは、2018 年 4 月を通じてロールアウトされます。

詳細については「デバイス管理の状態に基づいてアプリ保護ポリシーをターゲットにする」を参照してください。

Windows 用ポータル サイト アプリの言語を改善

ユーザーにわかりやすく、組織に特有の言語となるように、Windows 10 用ポータル サイトの言語に改善を加えました。 実行した内容のサンプル 画像を確認するには、 アプリ UI の新機能に関するページを参照してください。

ユーザーのプライバシーに関するドキュメントの新しい追加

エンド ユーザーがデータとプライバシーをより詳細に制御できるように、ポータル サイト アプリを使用してローカルに保存されているデータを表示および削除する方法を説明する更新プログラムをドキュメントに公開しました。 これらの更新プログラムは、次の場合に表示されます。

• Android: AndroidデバイスをIntuneから削除する方法
• Android(ユーザーが利用規約を拒否した場合): "使用条件" を拒否した場合は、デバイス管理を削除します
• iOS: Intuneから iOS デバイスを削除する
• Windows: Intuneから Windows デバイスを削除する

2018 年 2 月

デバイスの登録

複数の Apple DEP/Apple School Manager アカウントのIntuneサポート

Intuneでは、最大 100 個の異なる Apple Device Enrollment Program (DEP) または Apple School Manager アカウントからのデバイスの登録がサポートされるようになりました。 アップロードされた各トークンは、登録プロファイルとデバイス用に個別に管理できます。 DEP/School Manager トークンアップロードごとに、別の登録プロファイルを自動的に割り当てることができます。 複数の School Manager トークンがアップロードされている場合、一度にMicrosoft 学校データ同期と共有できるのは 1 つだけです。

移行後、Graph 経由で Apple DEP または ASM を管理するためのベータ版 Graph API と発行済みスクリプトは機能しなくなります。 新しいベータ Graph API は開発中であり、移行後にリリースされます。

ユーザーごとの登録制限を確認する

[トラブルシューティング] ブレードで、[割り当て] の一覧から [登録の制限] を選択することで、各ユーザーに有効な登録制限を確認できるようになりました。

Apple 一括登録のユーザー認証の新しいオプション

注:

新しいテナントはすぐに表示されます。 既存のテナントの場合、この機能は 4 月までロールアウトされています。 このロールアウトが完了するまで、これらの新機能にアクセスできない場合があります。

Intuneでは、次の登録方法にポータル サイト アプリを使用してデバイスを認証するオプションが提供されるようになりました。

• Apple Device Enrollment Program
• Apple School Manager
• Apple Configurator の登録

ポータル サイト オプションを使用する場合、これらの登録方法Microsoft Entraブロックすることなく多要素認証を適用できます。

ポータル サイト オプションを使用する場合、Intuneはユーザー アフィニティ登録の iOS セットアップ アシスタントでユーザー認証をスキップします。 この機能は、デバイスが最初にユーザーレス デバイスとして登録されているため、ユーザー グループの構成やポリシーを受け取らないことを意味します。 デバイス グループの構成とポリシーのみを受け取ります。 ただし、Intuneはデバイスにポータル サイト アプリを自動的にインストールします。 ポータル サイト アプリを起動してサインインする最初のユーザーは、Intune内のデバイスに関連付けられます。 この時点で、ユーザーはユーザー グループの構成とポリシーを受け取ります。 再登録を行わないと、ユーザーの関連付けを変更できません。

複数の Apple DEP/Apple School Manager アカウントのIntuneサポート

Intuneでは、最大 100 個の異なる Apple Device Enrollment Program (DEP) または Apple School Manager アカウントからのデバイスの登録がサポートされるようになりました。 アップロードされた各トークンは、登録プロファイルとデバイス用に個別に管理できます。 DEP/School Manager トークンアップロードごとに、別の登録プロファイルを自動的に割り当てることができます。 複数の School Manager トークンがアップロードされている場合、一度にMicrosoft 学校データ同期と共有できるのは 1 つだけです。

移行後、Graph 経由で Apple DEP または ASM を管理するためのベータ版 Graph API と発行済みスクリプトは機能しなくなります。 新しいベータ Graph API は開発中であり、移行後にリリースされます。

セキュリティで保護されたネットワーク経由でのリモート印刷

PrinterOnのワイヤレスモバイル印刷ソリューションを使用すると、ユーザーは安全なネットワークを介していつでもどこからでもリモートで印刷できます。 PrinterOn は、iOS と Android の両方のIntune APP SDK と統合されます。 アプリ保護ポリシーは、Intune管理センターの [Intune アプリ保護 ポリシー] ブレードを使用して、このアプリにターゲットを設定できます。 エンド ユーザーは、Play ストアまたは iTunes を介してアプリ 'PrinterOn for Microsoft' をダウンロードして、Intune エコシステム内で使用できます。

macOS ポータル サイトデバイス登録マネージャーを使用する登録のサポート

macOS ポータル サイトに登録するときに、デバイス登録マネージャーを使用できるようになりました。

デバイス管理

Windows Defender の正常性状態と脅威の状態レポート

Windows PC を管理するには、Windows Defenderの正常性と状態を理解することが重要です。 この更新プログラムでは、Intune Windows Defender エージェントの状態と正常性に新しいレポートとアクションを追加します。 デバイス コンプライアンス ワークロードで状態ロールアップ レポートを使用すると、次のいずれかのアクションが必要なデバイスを確認できます。

• 署名の更新
• Restart
• 手動による介入
• フル スキャン
• 介入を必要とするその他のエージェントの状態

各状態カテゴリのドリルイン レポートには、注意が必要な個々の PC、または クリーンとして報告される PC が一覧表示されます。

デバイスの制限に関する新しいプライバシー設定

次の 2 つの新しいプライバシー設定をデバイスで使用できるようになりました。

• ユーザー アクティビティの発行: [ブロック] を設定すると、この設定によって、タスク スイッチャーで最近使用されたリソースの共有エクスペリエンスと検出が防止されます。
• ローカル アクティビティのみ: [ブロック] を設定すると、この設定により、ローカル アクティビティのみに基づいて、タスク スイッチャーで最近使用されたリソースの共有エクスペリエンスと検出が禁止されます。

Microsoft Edge ブラウザーの新しい設定

Microsoft Edge ブラウザー バージョン 45 以前のデバイスで、お気に入りファイルへのパスと [お気に入りの変更] の 2 つの新しい設定が使用できるようになりました。

アプリ管理

アプリケーションのプロトコル例外

Intune Mobile Application Management (MAM) データ転送ポリシーの例外を作成して、特定のアンマネージド アプリケーションを開くようになりました。 このようなアプリケーションは、IT によって信頼されている必要があります。 作成する例外以外に、データ転送ポリシーがマネージド アプリのみに設定されている場合でも、データ転送はIntuneによって管理されるアプリケーションに制限されます。 プロトコル (iOS) またはパッケージ (Android) を使用して、制限を作成できます。

たとえば、例外として Webex パッケージを MAM データ転送ポリシーに追加できます。 例外により、管理対象の Outlook メール メッセージ内の Webex リンクが Webex アプリケーションで直接開きます。 データ転送は、他のアンマネージド アプリケーションでは引き続き制限されます。 詳細については、「 アプリのデータ転送ポリシーの例外」を参照してください。

Windows 検索結果の Windows Information Protection (WIP) で暗号化されたデータ

Windows Information Protection (WIP) ポリシーの設定で、WIP で暗号化されたデータを Windows 検索結果に含めるかどうかを制御できるようになりました。 [Windows Search インデクサーが Windows Information Protection ポリシーの詳細設定で暗号化された項目を検索できるようにする] を選択して、このアプリ保護ポリシー オプションを設定します。 アプリ保護ポリシーを Windows 10 プラットフォームに設定し、アプリ ポリシーの登録状態を [登録あり] に設定する必要があります。 詳細については、「Windows Search インデクサーによる暗号化されたアイテムの検索を許可する」を参照してください。

自己更新モバイル MSI アプリの構成

既知の自己更新モバイル MSI アプリを構成して、バージョン チェック プロセスを無視できます。 この機能は、競合状態に陥らないようにするのに役立ちます。 たとえば、この種の競合状態は、アプリ開発者によってアプリが自動更新され、Intuneによって更新されている場合に発生する可能性があります。 どちらも Windows クライアントにアプリのバージョンを適用しようとしても、競合が発生する可能性があります。 これらの自動的に更新された MSI アプリの場合は、[アプリ情報] ブレードで [アプリのバージョンを無視する] 設定を構成できます。 この設定を [はい] に切り替えると、Microsoft Intuneは Windows クライアントにインストールされているアプリのバージョンを無視します。

Intuneでサポートされているアプリ ライセンスの関連セット

Azure portalのIntuneでは、関連するアプリ ライセンスのセットが UI の 1 つのアプリ 項目としてサポートされるようになりました。 さらに、ビジネス向け Microsoft Storeから同期されたオフライン ライセンスされたアプリは 1 つのアプリ エントリに統合され、個々のパッケージからのデプロイの詳細が 1 つのエントリに移行されます。 Azure portalで関連するアプリ ライセンスのセットを表示するには、[クライアント アプリ] ブレードで [アプリ ライセンス] を選択します。

デバイス構成

自動暗号化用の Windows Information Protection (WIP) ファイル拡張子

Windows Information Protection (WIP) ポリシーの設定で、WIP ポリシーで定義されているように、会社の境界内のサーバー メッセージ ブロック (SMB) 共有からコピーするときに自動的に暗号化されるファイル拡張子を指定できるようになりました。

Surface Hubs のリソース アカウント設定を構成する

Surface Hubs のリソース アカウント設定をリモートで構成できるようになりました。

リソース アカウントは、会議に参加できるように、Skype/Exchange に対する認証に Surface Hub によって使用されます。 Surface Hub が会議室として会議に表示されるように、一意のリソース アカウントを作成する必要があります。 たとえば、 会議室 B41/6233 などのリソース アカウントです。

注:

• フィールドを空白のままにすると、デバイスで以前に構成した属性をオーバーライドします。

• リソース アカウントのプロパティは、Surface Hub で動的に変更できます。 たとえば、パスワードのローテーションがオンの場合です。 そのため、Azure コンソールの値がデバイスに現実を反映するまでに少し時間がかかる可能性があります。

  Surface Hub で現在構成されている内容を理解するために、リソース アカウント情報をハードウェア インベントリ (既に 7 日間隔) または読み取り専用プロパティとして含めることができます。 リモート アクションが実行された後の精度を高めるために、アクションを実行した直後にパラメーターの状態を取得して、Surface Hub のアカウント/パラメーターを更新できます。

攻撃面の縮小

設定名	オプションを設定する	説明
電子メールからのパスワードで保護された実行可能ファイル コンテンツの実行	ブロック、監査、未構成	メール経由でダウンロードされたパスワードで保護された実行可能ファイルが実行されないようにします。
高度なランサムウェア保護	有効、監査、未構成	積極的なランサムウェア保護を使用します。
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用にフラグを設定する	有効、監査、未構成	Windows ローカル セキュリティ機関サブシステム (lsass.exe) から資格情報を盗むフラグを設定します。
PSExec コマンドと WMI コマンドからのプロセス作成	ブロック、監査、未構成	PSExec コマンドと WMI コマンドから発生するプロセスの作成をブロックします。
USB から実行される信頼されていないプロセスと署名されていないプロセス	ブロック、監査、未構成	USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックします。
普及率、年齢、または信頼できるリストの条件を満たしていない実行可能ファイル	ブロック、監査、未構成	有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックします。

コントロールされたフォルダー アクセス

設定名	オプションを設定する	説明
フォルダー保護 (既に実装済み)	未構成、有効化、監査のみ (既に実装済み) New ディスクの変更をブロックする、ディスクの変更を監査する

不正なアプリによる未承認の変更からファイルとフォルダーを保護します。

有効にする: 信頼されていないアプリが保護されたフォルダー内のファイルを変更または削除したり、ディスク セクターに書き込んだりできないようにします。

ディスクの変更のみをブロックします。
信頼されていないアプリがディスク セクターに書き込むのをブロックします。 信頼されていないアプリでも、保護されたフォルダー内のファイルを変更または削除できます。|

Windows 10以降のコンプライアンス ポリシーのシステム セキュリティ設定への追加

ファイアウォールの要求やウイルス対策のWindows Defenderなど、Windows 10コンプライアンス設定への追加が利用可能になりました。

Intune アプリ

ビジネス向け Microsoft Storeからのオフライン アプリのサポート

ビジネス向け Microsoft Storeから購入したオフライン アプリがAzure portalに同期されるようになりました。 これらのアプリは、デバイス グループまたはユーザー グループに展開できます。 オフライン アプリは、ストアではなく、Intuneによってインストールされます。

エンド ユーザーが仕事用プロファイルでアカウントを手動で追加または削除できないようにする

Android for Work プロファイルに Gmail アプリを展開するときに、Android for Work デバイスの制限プロファイルの [アカウントの 追加と削除 ] 設定を使用して、エンド ユーザーが仕事用プロファイルのアカウントを手動で追加または削除できないようにできるようになりました。

2018 年 1 月

デバイスの登録

期限切れのトークンと間もなく期限切れになるトークンに関するアラート

概要ページに、期限切れのトークンと間もなく期限切れになるトークンに関するアラートが表示されるようになりました。 1 つのトークンのアラートを選択すると、トークンの詳細ページに移動します。 複数のトークンを含むアラートを選択すると、その状態を持つすべてのトークンの一覧に移動します。 管理者は、有効期限の前にトークンを更新する必要があります。

デバイス管理

macOS デバイスのリモート "消去" コマンドのサポート

管理者は、macOS デバイスに対してリモートで Erase コマンドを発行できます。

重要

erase コマンドは反転できないため、注意して使用する必要があります。

erase コマンドは、オペレーティング システムを含むすべてのデータをデバイスから削除します。 また、Intune管理からデバイスを削除します。 ユーザーに対して警告は発行されません。消去はコマンドの発行直後に行われます。

6 桁の回復 PIN を構成する必要があります。 この PIN を使用して、消去されたデバイスのロックを解除できます。この時点でオペレーティング システムの再インストールが開始されます。 消去が開始されると、PIN はIntuneのデバイスの [概要] ブレードのステータス バーに表示されます。 削除が進行中であれば、PIN は残ります。 消去が完了すると、デバイスはIntune管理から完全に消えます。 デバイスを復元しているユーザーが使用できるように、回復 PIN を必ず記録してください。

iOS ボリューム購入プログラム トークンのライセンスを取り消す

特定の VPP トークンのすべての iOS ボリューム購入プログラム (VPP) アプリのライセンスを取り消すことができます。

アプリ管理

iOS Volume-Purchase Program アプリの取り消し

1 つ以上の iOS Volume-Purchase Program (VPP) アプリを持つ特定のデバイスの場合、デバイスに関連付けられているデバイス ベースのアプリ ライセンスを取り消すことができます。 アプリ ライセンスを取り消すと、関連する VPP アプリはデバイスからアンインストールされません。 VPP アプリをアンインストールするには、割り当てアクションを [アンインストール] に変更する必要があります。 詳細については、「Microsoft Intuneを使用してボリューム購入プログラムを使用して購入した iOS アプリを管理する方法」を参照してください。

組み込みのアプリの種類を使用して、iOS および Android デバイスに Microsoft 365 モバイル アプリを割り当てる

組み込みのアプリの種類を使用すると、管理する iOS および Android デバイスに Microsoft 365 アプリを簡単に作成して割り当てることができます。 これらのアプリには、Word、Excel、PowerPoint、OneDrive などの Microsoft 365 アプリが含まれます。 特定のアプリをアプリの種類に割り当てて、アプリ情報の構成を編集できます。

グループに基づくアプリの割り当てを含め、除外する

アプリの割り当て中と割り当ての種類を選択した後、含めるグループと除外するグループを選択できます。

デバイス構成

割り当てを含めて除外することで、アプリケーション構成ポリシーをグループに割り当てることができます

割り当てを含めるか除外するかの組み合わせを使用して、アプリケーション構成ポリシーをユーザーとデバイスのグループに割り当てることができます。 割り当ては、グループのカスタム選択として、または仮想グループとして選択できます。 仮想グループには、 すべてのユーザー、 すべてのデバイス、または すべてのユーザー + すべてのデバイスを含めることができます。

Windows 10 エディションのアップグレード ポリシーのサポート

Windows 10 Education、Windows 10 Education N、Windows 10 Professional、Windows 10 Professional N にデバイスWindows 10アップグレードするWindows 10 エディションのアップグレード ポリシーを作成できますWindows 10専門教育とWindows 10専門教育N.

Windows 10エディションのアップグレードの詳細については、「エディションのアップグレードWindows 10構成する方法」を参照してください。

Intuneの条件付きアクセス ポリシーは、Azure portalからのみ使用できます

このリリース以降、Microsoft Entra ID Conditional Access からAzure portalで条件付きアクセス ポリシーを>構成して管理する必要があります。 便宜上、Intune Conditional Access のAzure portalのIntune>からこのブレードにアクセスすることもできます。

コンプライアンス メールへのUpdates

非準拠デバイスを報告するために電子メールが送信されると、非準拠デバイスに関する詳細が含まれます。

Intune アプリ

Android デバイスの "解決" アクションの新機能

Android 用のポータル サイト アプリでは、[デバイスの暗号化の問題を解決するためにデバイス設定を更新する] の [解決] アクションが展開されています。

Windows 10ポータル サイトアプリで使用できるリモート ロック

エンド ユーザーは、ポータル サイト アプリからデバイスをリモートでロックしてWindows 10できるようになりました。 この機能は、アクティブに使用しているローカル デバイスには表示されません。

Windows 10のポータル サイト アプリのコンプライアンスに関する問題の解決が容易

Windows デバイスを使用するエンド ユーザーは、ポータル サイト アプリでコンプライアンス違反の理由をタップできます。 可能であれば、この機能により、問題を解決するために、設定アプリの正しい場所に直接移動します。

2017

2017 年 12 月

新しい自動再デプロイ設定

自動再デプロイ設定を使用すると、管理者権限を持つユーザーは、デバイスのロック画面で Ctrl + Win + R キーを押して、すべてのユーザー データと設定を削除できます。 デバイスは自動的に再構成され、管理に再登録されます。 この設定は、Windows 10>デバイス制限の一般的な>自動再デプロイに関する>ページにあります。 詳細については、「Windows 10のデバイス制限設定をIntuneする」を参照してください。

Windows 10 エディションのアップグレード ポリシーでの他のソース エディションのサポート

Windows 10 エディションのアップグレード ポリシーを使用して、他のWindows 10 エディション (Windows 10 Pro、education 用Windows 10 Pro、Windows 10 Cloud など) からアップグレードできるようになりました。 このリリースより前は、サポートされているエディションのアップグレード パスの方が制限されていました。 詳細については、「エディションのアップグレードWindows 10構成する方法」を参照してください。

新しいWindows Defender Security Center (WDSC) デバイス構成プロファイル設定

Intuneは、Security Center という名前のエンドポイント保護の下に、デバイス構成プロファイル設定Windows Defender新しいセクションを追加します。 IT 管理者は、Windows Defender Security Center アプリのエンド ユーザーがアクセスできる柱を構成できます。 IT 管理者がWindows Defender Security Center アプリの柱を非表示にした場合、非表示の柱に関連するすべての通知がユーザーのデバイスに表示されません。

管理者は、次の柱を使用して、Windows Defender Security Center デバイス構成プロファイル設定から非表示にすることができます。

• ウイルスと脅威の保護
• デバイスのパフォーマンスと正常性
• ファイアウォールとネットワーク保護
• アプリとブラウザーのコントロール
• ファミリ オプション

IT 管理者は、ユーザーが受け取る通知をカスタマイズすることもできます。 たとえば、ユーザーが WDSC の目に見える柱によって生成されたすべての通知を受信するか、重要な通知のみを受け取るかを構成できます。 重要でない通知には、Windows Defenderウイルス対策アクティビティの定期的な概要と、スキャンが完了したときの通知が含まれます。 その他の通知はすべて重要と見なされます。 また、通知コンテンツ自体をカスタマイズすることもできます。たとえば、IT 連絡先情報を提供して、ユーザーのデバイスに表示される通知に埋め込むこともできます。

SCEP と PFX 証明書処理に対する複数のコネクタサポート

オンプレミスの NDES コネクタを使用してデバイスに証明書を配信するお客様は、1 つのテナントで複数のコネクタを構成できるようになりました。

この新機能は、次のシナリオをサポートします。

• 高可用性

各 NDES コネクタは、Intuneから証明書要求をプルします。 1 つの NDES コネクタがオフラインになった場合、もう一方のコネクタは引き続き要求を処理できます。

顧客のサブジェクト名は変数AAD_DEVICE_ID使用できます

Intuneで SCEP 証明書プロファイルを作成するときに、カスタムサブジェクト名を作成するときに AAD_DEVICE_ID 変数を使用できるようになりました。 この SCEP プロファイルを使用して証明書が要求されると、変数は証明書要求を行うデバイスのMicrosoft Entraデバイス ID に置き換えられます。

Intuneのデバイス コンプライアンス エンジンを使用して Jamf 登録済みの macOS デバイスを管理する

Jamf を使用して macOS デバイスの状態情報をIntuneに送信できるようになりました。これにより、Intune コンソールで定義されているポリシーへの準拠が評価されます。 条件付きアクセスは、デバイスのコンプライアンス状態とその他の条件 (場所、ユーザー リスクなど) に基づいて、Microsoft 365 を含むMicrosoft Entra IDに接続されているクラウドおよびオンプレミス アプリケーションにアクセスする macOS デバイスに対してコンプライアンスを適用します。 Jamf で管理されるデバイスの Jamf 統合の設定とコンプライアンスの適用に関する詳細をご覧ください。

新しい iOS デバイス アクション

iOS 10.3 監視対象デバイスをシャットダウンできるようになりました。 この操作により、エンド ユーザーに警告なしでデバイスが直ちにシャットダウンされます。 [ シャットダウン (監視のみ)] アクションは、[デバイス] ワークロードでデバイスを選択すると、 デバイス のプロパティにあります。

Samsung Knox デバイスへの日付/時刻の変更を禁止する

Samsung Knox デバイスの日付と時刻の変更をブロックできる新機能が追加されました。 この機能は、「デバイス>構成>デバイスの制限 (Android)全般」>で確認できます。

サポートされている Surface Hub リソース アカウント

管理者が Surface Hub に関連付けられているリソース アカウントを定義および更新できるように、新しいデバイス アクションが追加されました。

リソース アカウントは、会議に参加できるように、Skype/Exchange で認証するために Surface Hub によって使用されます。 Surface Hub が会議室として会議に表示されるように、一意のリソース アカウントを作成できます。 たとえば、リソース アカウントが 会議室 B41/6233 として表示される場合があります。 通常、Surface Hub のリソース アカウント (デバイス アカウントと呼ばれます) は、会議室の場所と、他のリソース アカウント パラメーターを変更する必要があるときに構成する必要があります。

管理者がデバイス上のリソース アカウントを更新する場合は、デバイスに関連付けられている現在の Active Directory/Microsoft Entra資格情報を指定する必要があります。 デバイスのパスワードローテーションがオンになっている場合、管理者はMicrosoft Entra IDに移動してパスワードを見つける必要があります。

注:

すべてのフィールドがバンドルで送信され、以前に構成されたすべてのフィールドが上書きされます。 空のフィールドは、既存のフィールドも上書きします。

管理者が構成できる設定を次に示します。

• リソース アカウント

  • Active Directory ユーザー

    Domainname\username またはユーザー プリンシパル名 (UPN): user@domainname.com

  • Password

• オプションのリソース アカウント パラメーター (指定したリソース アカウントを使用して設定する必要があります)

  • パスワードローテーション期間

    セキュリティ上の理由から、アカウントパスワードが毎週 Surface Hub によって自動的に更新されるようにします。 設定を有効にした後でパラメーターを構成するには、Microsoft Entra IDのアカウントに最初にパスワード リセットが必要です。

  • SIP (セッション開始プロトコル) アドレス

    自動検出が失敗した場合にのみ使用されます。

  • 電子メール

    デバイス/リソース アカウントのアドレスをEmailします。

  • Exchange サーバー

    自動検出が失敗した場合にのみ必要です。

  • 予定表の同期

    予定表の同期とその他の Exchange サーバー サービスを有効にするかどうかを指定します。 たとえば、会議の同期です。

macOS デバイスに Office アプリをインストールする

これで、macOS デバイスに Office アプリをインストールできるようになります。 この新しいアプリの種類を使用すると、Word、Excel、PowerPoint、Outlook、OneNote をインストールできます。 これらのアプリには Microsoft AutoUpdate (MAU) も付属しており、アプリのセキュリティと最新の状態を維持するのに役立ちます。

iOS ボリューム購入プログラム トークンを削除する

コンソールを使用して、iOS ボリューム購入プログラム (VPP) トークンを削除できます。 この機能は、VPP トークンのインスタンスが重複している場合に必要になる場合があります。

Current User という名前の新しいエンティティ コレクションは、現在アクティブなユーザー データに制限されます

Users エンティティ コレクションには、エンタープライズでライセンスが割り当てられているすべてのMicrosoft Entra ユーザーが含まれています。 たとえば、ユーザーがIntuneに追加された後、先月に削除される場合があります。 このユーザーはレポートの時点には存在しませんが、ユーザーと状態はデータに存在します。 データ内のユーザーの過去のプレゼンスの期間を示すレポートを作成できます。

これに対し、新しい Current User エンティティ コレクションには、削除されていないユーザーのみが含まれます。 Current User エンティティ コレクションには、現在アクティブなユーザーのみが含まれています。 現在のユーザー エンティティ コレクションの詳細については、「現在のユーザー エンティティのリファレンス」を参照してください。

更新された Graph API

このリリースでは、ベータ版のIntune用の Graph API をいくつか更新しました。 詳細については、毎月のGraph API変更ログを確認してください。

Intuneでは、Windows Information Protection (WIP) が拒否されたアプリがサポートされます

拒否されたアプリは、Intuneで指定できます。 アプリが拒否された場合、アプリは企業情報へのアクセスをブロックされます。実質的には、許可されているアプリの一覧とは反対です。 詳細については、「Windows Information Protectionの推奨ブロックリスト」を参照してください。

2017 年 11 月

登録に関する問題のトラブルシューティング

[トラブルシューティング] ワークスペースにユーザー登録の問題が表示されるようになりました。 問題の詳細と推奨される修復手順は、管理者とヘルプ デスクオペレーターが問題のトラブルシューティングに役立ちます。 特定の登録の問題はキャプチャされず、一部のエラーに修復候補がない場合があります。

グループ割り当て登録の制限

Intune管理者は、ユーザー グループのカスタムデバイスの種類とデバイス制限の登録制限を作成できるようになりました。

Intune Azure portalを使用すると、各制限の種類のインスタンスを最大 25 個作成でき、ユーザー グループに割り当てることができます。 グループ割り当て制限は、既定の制限をオーバーライドします。

制限型のすべてのインスタンスは、厳密に順序付けされたリストに保持されます。 この順序では、競合解決の優先順位の値が定義されます。 複数の制限インスタンスの影響を受けるユーザーは、優先度が最も高い値のインスタンスによってのみ制限されます。 特定のインスタンスの優先順位は、リスト内の別の位置にドラッグすることで変更できます。

この機能は、Android for Work 登録メニューから [登録制限] メニューへの Android for Work 設定の移行に伴ってリリースされます。 この移行には数日かかる場合があるため、グループの割り当てが登録制限に対して有効になる前に、11 月のリリースの他の部分に対してアカウントがアップグレードされる可能性があります。

複数のネットワーク デバイス登録サービス (NDES) コネクタのサポート

NDES を使用すると、ドメイン資格情報なしで実行されているモバイル デバイスは、簡易証明書登録プロトコル (SCEP) に基づいて証明書を取得できます。 この更新プログラムでは、複数の NDES コネクタがサポートされます。

Android for Work デバイスを Android デバイスとは別に管理する

Intuneでは、Android プラットフォームとは別に Android for Work デバイスの登録の管理がサポートされています。 これらの設定は、[デバイス登録の登録>の制限] [デバイスの種類の>制限] で管理されます。 (以前はデバイス登録>の下にあったAndroid for Work Enrollment>Android for Work の登録設定。)

既定では、Android for Work デバイスの設定は、Android デバイスの設定と同じです。 ただし、Android for Work の設定を変更すると、その設定は変更されません。

個人用 Android for Work 登録をブロックする場合、Android for Work として登録できるのは会社の Android デバイスのみです。

新しい設定を使用する場合は、次の点を考慮してください。

Android for Work 登録をオンボードしたことがない場合

新しい Android for Work プラットフォームは、既定の [デバイスの種類の制限] でブロックされます。 この機能をオンボードすると、デバイスが Android for Work に登録できるようになります。 これを行うには、既定のデバイスの種類の制限を変更するか、新しいデバイスの種類の制限を作成して、既定の [デバイスの種類の制限] を置き換える必要があります。

Android for Work 登録をオンボードしている場合

以前にオンボードしたことがある場合、状況は選択した設定によって異なります。

設定	既定のデバイスの種類の制限の Android for Work 状態	Notes
すべてのデバイスを Android として管理する	Blocked	すべての Android デバイスは、Android for Work なしで登録する必要があります。
サポートされているデバイスを Android for Work として管理する	可	Android for Work をサポートするすべての Android デバイスは、Android for Work に登録する必要があります。
Android for Work としてこれらのグループ内のユーザーに対してのみサポートされているデバイスを管理する	Blocked	既定をオーバーライドするために、別のデバイスの種類の制限ポリシーが作成されました。 このポリシーは、Android for Work 登録を許可するために以前に選択したグループを定義します。 選択したグループ内のユーザーは、引き続き Android for Work デバイスの登録を許可されます。 他のすべてのユーザーは、Android for Work への登録が制限されています。

いずれの場合も、意図した規制が保持されます。 お使いの環境で Android for Work のグローバルまたはグループごとの許容量を維持するためのアクションは必要ありません。

Android での Google Play Protect のサポート

Android Oreo のリリースにより、Google では、ユーザーと組織が安全なアプリを実行し、Android イメージをセキュリティで保護できる、Google Play Protect と呼ばれる一連のセキュリティ機能が導入されました。 Intuneでは、SafetyNet リモート構成証明などの Google Play Protect 機能がサポートされるようになりました。 管理者は、Google Play Protect を構成して正常にする必要があるコンプライアンス ポリシー要件を設定できます。

SafetyNet デバイス構成証明設定では、デバイスが正常であり、侵害されていないことを確認するために、デバイスが Google サービスに接続する必要があります。 管理者は、Android for Work の構成プロファイル設定を設定して、インストールされているアプリが Google Play サービスによって検証されるように設定することもできます。 デバイスが Google Play Protect の要件に準拠していない場合、条件付きアクセスによってユーザーが企業リソースにアクセスできなくなる可能性があります。

• Google Play Protect を有効にするデバイス コンプライアンス ポリシーを作成する方法について説明します。

マネージド アプリから許可されるテキスト プロトコル

Intune App SDK によって管理されるアプリは、SMS メッセージを送信できます。

アプリのインストール レポートが更新され、インストールが保留中の状態が含まれる

[クライアント アプリ] ワークロードの [アプリ] の一覧からアプリごとにアクセスできる [アプリのインストール状態] レポートに、ユーザーとデバイスのインストール保留中の数が含まれるようになりました。

モバイル脅威検出用の iOS 11 アプリ インベントリ API

Intuneは、個人所有デバイスと企業所有デバイスの両方からアプリ インベントリ情報を収集し、Lookout for Work などのモバイル脅威検出 (MTD) プロバイダーが取得できるようにします。 iOS 11 以降のデバイスのユーザーからアプリ インベントリを収集できます。

アプリ インベントリ
企業所有の iOS 11 以降と個人所有の両方のデバイスからのインベントリは、MTD サービス プロバイダーに送信されます。 アプリ インベントリのデータ:

• アプリ ID
• アプリのバージョン
• アプリ バージョン (短い形式)
• アプリ名
• アプリ バンドル サイズ
• アプリの動的サイズ
• アプリが検証されているかどうか
• アプリが管理されているかどうか

ハイブリッド MDM ユーザーとデバイスをスタンドアロンにIntune移行する

新しいプロセスとツールを使用して、ユーザーとそのデバイスをハイブリッド MDM からAzure portalのIntuneに移動できるようになりました。これにより、次のタスクを実行できます。

• Configuration Manager コンソールからポリシーとプロファイルをコピーし、Azure portalでIntuneします
• ユーザーのサブセットをAzure portal内のIntuneに移動しながら、残りの部分をハイブリッド MDM に保持する
• デバイスを再登録する必要なく、Azure portal内のIntuneにデバイスを移行する

オンプレミスの Exchange コネクタの高可用性サポート

Exchange コネクタが指定したクライアント アクセス サーバー (CAS) を使用して Exchange への接続を作成すると、コネクタは他の CAS を検出できるようになりました。 プライマリ CAS が使用できなくなった場合、コネクタは、プライマリ CAS が使用可能になるまで別の CAS (使用可能な場合) にフェールオーバーします。 詳細については、「 オンプレミスの Exchange コネクタの高可用性サポート」を参照してください。

iOS デバイスをリモートで再起動する (監視のみ)

監視対象の iOS 10.3 以降のデバイスをトリガーして、デバイス アクションを使用して再起動できるようになりました。 デバイスの再起動アクションの使用方法の詳細については、「Intuneを使用してデバイスをリモートで再起動する」を参照してください。

注:

このコマンドには、監視対象のデバイスと デバイス ロック アクセス権が必要です。 デバイスがすぐに再起動します。 パスコードロックされた iOS デバイスは、再起動後に Wi-Fi ネットワークに再び参加しません。再起動後、サーバーと通信できない可能性があります。

iOS のシングル サインオン のサポート

iOS ユーザーにはシングル サインオンを使用できます。 シングル サインオン ペイロードでユーザー資格情報を検索するようにコード化された iOS アプリは、このペイロード構成更新プログラムで機能します。 UPN と Intune デバイス ID を使用して、プリンシパル名と領域を構成することもできます。 詳細については、「iOS デバイスのシングル サインオンのIntuneを構成する」を参照してください。

個人用デバイス用の "iPhone の検索" を追加する

iOS デバイスでアクティブ化ロックが有効になっているかどうかを確認できるようになりました。 この機能は、従来のポータルのIntuneで確認できました。

Intuneを使用してマネージド macOS デバイスをリモートでロックする

紛失した macOS デバイスをロックし、6 桁の回復 PIN を設定できます。 ロックされると、[ デバイスの概要 ] ブレードに、別のデバイス アクションが送信されるまで PIN が表示されます。

詳細については、「Intuneを使用してマネージド デバイスをリモートでロックする」を参照してください。

サポートされる新しい SCEP プロファイルの詳細

管理者は、Windows、iOS、macOS、および Android プラットフォームで SCEP プロファイルを作成するときに、より多くの設定を設定できるようになりました。 管理者は、件名の形式で電子メールを含む IMEI、シリアル番号、または共通名を設定できます。

出荷時のリセット中にデータを保持する

バージョン 1709 以降Windows 10出荷時の設定にリセットする場合は、新しい機能を使用できます。 管理者は、デバイス登録やその他のプロビジョニングされたデータを出荷時の設定にリセットしてデバイスに保持するかどうかを指定できます。

次のデータは、出荷時の設定へのリセットによって保持されます。

• デバイスに関連付けられているユーザー アカウント
• マシンの状態 (ドメイン参加、参加Microsoft Entra)
• MDM 登録
• OEM にインストールされているアプリ (ストアと Win32 アプリ)
• ユーザーのプロフィール
• ユーザー プロファイルの外部のユーザー データ
• ユーザー自動ログオン

次のデータは保持されません。

• ユーザー ファイル
• ユーザーがインストールしたアプリ (ストアと Win32 アプリ)
• 初期値ではないデバイス設定

ウィンドウ 10 更新リングの割り当てが表示される

トラブルシューティング中に、表示しているユーザーに対して、Windows 10更新リングの割り当てを確認できます。

エンドポイント レポートの頻度設定のWindows Defender

Defender for Endpoint サービスを使用すると、管理者は管理対象デバイスのレポート頻度を管理できます。 新しい Expedite テレメトリ レポート頻度 オプションを使用すると、Defender for Endpoint はデータを収集し、リスクをより頻繁に評価します。 レポートの既定値は、速度とパフォーマンスを最適化します。 レポートの頻度を増やすと、リスクの高いデバイスにとって重要な場合があります。 この設定は、デバイス構成のエンドポイント プロファイルのWindows Defenderにあります。

更新プログラムの監査

Intune監査は、Intuneに関連する変更操作の記録を提供します。 すべての作成、更新、削除、リモート タスク操作がキャプチャされ、1 年間保持されます。 Azure portalは、各ワークロードの過去 30 日間の監査データのビューを提供し、フィルター処理できます。 対応するGraph APIを使用すると、過去 1 年間に格納された監査データを取得できます。

監査は MONITOR グループの下にあります。 ワークロードごとに [監査ログ] メニュー項目があります。

macOS 用ポータル サイト アプリを使用できます

macOS 上のIntune ポータル サイト アプリのエクスペリエンスが更新されました。 ユーザーが登録したすべてのデバイスに必要なすべての情報とコンプライアンス通知が表示されます。 また、Intune ポータル サイトがデバイスに展開されると、Microsoft AutoUpdate for macOS によって更新プログラムが提供されます。 macOS 用の新しいIntune ポータル サイトをダウンロードするには、macOS デバイスからIntune ポータル サイト Web サイトにログインします。

Microsoft Plannerは、承認されたアプリのモバイル アプリ管理 (MAM) リストの一部になりました

iOS と Android 用のMicrosoft Planner アプリが、モバイル アプリ管理 (MAM) の承認済みアプリの一部になりました。 アプリは、すべてのテナントに対するAzure portalの [アプリ保護] ブレードIntune使用して構成できます。

• 承認されたアプリの MAM リストの詳細を確認します。

iOS デバイスでの VPN 要件の更新頻度の Per-App

管理者は、iOS デバイス上のアプリ Per-App VPN 要件を削除できるようになりました。影響を受けるデバイスは、一般に 15 分以内に発生する次のIntune チェックの後に発生します。

Exchange コネクタ用 System Center Operations Manager 管理パックのサポート

Exchange コネクタの System Center Operations Manager 管理パックが、Exchange コネクタ ログの解析に役立つようになりました。 この機能を使用すると、問題のトラブルシューティングを行う必要があるときにサービスを監視するさまざまな方法が提供されます。

Windows 10 デバイスの共同管理

共同管理は、従来の管理から最新の管理への橋渡しを提供するソリューションであり、段階的なアプローチを使用して移行するためのパスを提供します。 共同管理は、Windows 10デバイスがConfiguration ManagerとMicrosoft Intuneによって同時に管理されるソリューションです。 デバイスは Active Directory (AD) とMicrosoft Entra IDに参加しています。 この構成では、一度にすべてを移動できない場合は、organizationに適したペースで、時間の経過と共に最新化するためのパスが提供されます。

OS バージョン別に Windows 登録を制限する

Intune管理者は、デバイス登録にWindows 10の最小バージョンと最大バージョンを指定できるようになりました。 これらの制限は、[ プラットフォーム構成] ブレードで設定できます。

Intuneは引き続き、WINDOWS 8.1 PC と電話の登録をサポートします。 ただし、最小および最大の制限を使用して設定できるのは、Windows 10 バージョンのみです。 8.1 デバイスの登録を許可するには、最小制限を空のままにします。

Windows Autopilot の割り当てられていないデバイスに関するアラート

Windows Autopilot の未割り当てデバイスに対して新しいアラートを使用できるのは、Microsoft Intune>Device 登録>の概要ページです。 このアラートは、Autopilot プログラムのデバイスに Autopilot 展開プロファイルが割り当てられないデバイスの数を示します。 アラートの情報を使用してプロファイルを作成し、割り当てられていないデバイスに割り当てます。 アラートを選択すると、Windows Autopilot デバイスの完全な一覧とそれらに関する詳細情報が表示されます。 詳細については、「 Windows Autopilot 展開プログラムを使用して Windows デバイスを登録する」を参照してください。

[デバイス] リストの [更新] ボタン

[デバイス] リストは自動的に更新されないため、新しい [更新] ボタンを使用して、一覧に表示されるデバイスを更新できます。

Symantec Cloud Certification Authority (CA) のサポート

Intuneでは Symantec Cloud CA がサポートされるようになりました。これにより、Intune Certificate Connector は Symantec Cloud CA からマネージド デバイスに対して PKCS 証明書を発行Intune。 Microsoft Certification機関 (CA) で Intune Certificate Connector を既に使用している場合は、既存の Intune Certificate Connector セットアップを使用して、Symantec CA サポートを追加できます。

デバイス インベントリに追加された新しいアイテム

次の新しい項目が、 登録済みデバイスによって取得されたインベントリで使用できるようになりました。

• Wi-Fi MAC アドレス
• 記憶域の合計容量
• 空き領域の合計
• MEID
• サブスクライバーの通信事業者

デバイスの Android セキュリティパッチを最小限に抑え、アプリのアクセスを設定する

管理者は、管理対象アカウントでマネージド アプリケーションにアクセスするためにデバイスにインストールする必要がある最小 Android セキュリティ パッチを定義できます。

注:

この機能は、Android 8.0 以降のデバイスで Google によってリリースされたセキュリティ パッチのみを制限します。

アプリ条件付き起動のサポート

IT 管理者は、Azure 管理ポータルを通じて要件を設定して、アプリケーションの起動時にモバイル アプリ管理 (MAM) を使用して、代わりに数値 PIN を適用できるようになりました。 構成されている場合、ユーザーは、MAM 対応アプリケーションにアクセスする前にメッセージが表示されたら、パスコードを設定して使用する必要があります。 パスコードは、少なくとも 1 つの特殊文字または大文字/小文字のアルファベットを持つ数値 PIN として定義されます。 このリリースのIntuneでは、iOS でのみこの機能が有効になります。 Intuneは、数値 PIN と同様の方法でパスコードをサポートし、最小長を設定して、繰り返し文字とシーケンスを許可します。 この機能では、アプリケーション (WXP、Outlook、マネージド ブラウザー、Viva Engage) が、対象アプリケーションでパスコード設定を適用するために、Intune App SDK とこの機能のコードを統合する必要があります。

デバイスのインストール状態レポートの基幹業務のアプリのバージョン番号

このリリースでは、デバイスのインストール状態レポートに、iOS および Android 用の基幹業務アプリのアプリバージョン番号が表示されます。 この情報を使用してアプリのトラブルシューティングを行ったり、古いアプリのバージョンを実行しているデバイスを見つけたりすることができます。

管理者は、デバイス構成プロファイルを使用してデバイスのファイアウォール設定を構成できるようになりました

管理者は、デバイスのファイアウォールを有効にし、ドメイン、プライベート、パブリック ネットワークのさまざまなプロトコルを構成することもできます。 これらのファイアウォール設定は、"エンドポイント保護" プロファイルにあります。

Windows Defender Application Guardは、organizationで定義されているように、信頼されていない Web サイトからデバイスを保護するのに役立ちます

管理者は、Windows Information Protection ワークフローまたはデバイス構成の新しい "ネットワーク境界" プロファイルを使用して、サイトを "信頼済み" または "企業" として定義できます。 Microsoft Edge で表示されている場合、64 ビット Windows 10 デバイスの信頼されたネットワーク境界に記載されていないサイトは、Hyper-V 仮想コンピューター内のブラウザーではなく開きます。

Application Guardは、デバイス構成プロファイルの "エンドポイント保護" プロファイルにあります。 そこから、管理者は、仮想化されたブラウザーとホスト コンピューター、信頼されていないサイトと信頼されたサイトの間の相互作用を構成し、仮想化されたブラウザーで生成されたデータを格納できます。 デバイスでApplication Guardを使用するには、まずネットワーク境界を構成する必要があります。 デバイスのネットワーク境界は 1 つだけ定義することが重要です。

Windows 10 Enterpriseのアプリケーション制御をWindows Defenderすると、承認されたアプリのみを信頼するモードが提供されます

毎日何千もの新しい悪意のあるファイルが作成され、ウイルス対策署名ベースの検出を使用してマルウェアと戦うと、新しい攻撃に対する適切な防御が提供されなくなる可能性があります。 Windows 10 Enterpriseでアプリケーション制御Windows Defender使用すると、ウイルス対策やその他のセキュリティ ソリューションによってブロックされない限り、アプリが信頼されるモードから、オペレーティング システムが企業によって承認されたアプリのみを信頼するモードにデバイス構成を変更できます。 アプリケーションコントロールでアプリに信頼Windows Defender割り当てます。

Intuneを使用して、"監査のみ" モードまたは強制モードでアプリケーション制御ポリシーを構成できます。 "監査のみ" モードで実行されている場合、アプリはブロックされません。 "監査のみ" モードでは、すべてのイベントがローカル クライアント ログに記録されます。 また、Windows コンポーネントと Microsoft Store アプリのみを実行できるかどうかを構成することも、インテリジェント セキュリティ グラフで定義されている評判の良い他のアプリの実行を許可するかどうかを構成することもできます。

Window Defender Exploit Guard は、Windows 10の新しい侵入防止機能のセットです

Window Defender Exploit Guard には、アプリケーションの悪用可能性を減らし、マクロとスクリプトの脅威を防ぎ、低評判 IP アドレスへのネットワーク接続を自動的にブロックし、ランサムウェアや未知の脅威からデータをセキュリティで保護するためのカスタム ルールが含まれています。 Windows Defender Exploit Guard は、次のコンポーネントで構成されます。

• 攻撃表面の縮小 は、マクロ、スクリプト、および電子メールの脅威を防ぐことを可能にするルールを提供します。
• フォルダーアクセスの制御 により、保護されたフォルダーへのコンテンツへのアクセスが自動的にブロックされます。
• ネットワーク フィルターは 、任意のアプリから低担当者 IP/ドメインへの送信接続をブロックします
• Exploit Protection には、アプリケーションを悪用から保護するために使用できるメモリ、制御フロー、ポリシーの制限が用意されています。

Windows 10 デバイスのIntuneで PowerShell スクリプトを管理する

Intune管理拡張機能を使用すると、Intuneで PowerShell スクリプトをアップロードして、Windows 10 デバイスで実行できます。 この拡張機能は、モバイル デバイス管理 (MDM) 機能Windows 10補完し、最新の管理に簡単に移行できるようにします。 詳細については、「Windows 10 デバイスのIntuneで PowerShell スクリプトを管理する」を参照してください。

Windows 10の新しいデバイス制限設定

• メッセージング (モバイルのみ) - テストまたは MMS メッセージを無効にする
• パスワード - FIPS と認証にWindows Hello デバイスのセカンダリ デバイスの使用を有効にする設定
• 表示 - 従来のアプリの GDI スケーリングをオンまたはオフにする設定

キオスク モードのデバイスの制限をWindows 10する

デバイス ユーザー Windows 10キオスク モードに制限できます。これにより、ユーザーは定義済みのアプリのセットに制限されます。 そのためには、Windows 10デバイス制限プロファイルを作成し、キオスク設定を設定します。

キオスク モードでは、 1 つのアプリ (ユーザーが 1 つのアプリ のみを実行できるようにする) または マルチ アプリ (アプリのセットへのアクセスを許可する) の 2 つのモードがサポートされています。 ユーザー アカウントとデバイス名を定義します。これは、サポートされているアプリを決定します)。 ユーザーがログインすると、定義されたアプリに制限されます。 詳細については、「 AssignedAccess CSP」を参照してください。

キオスク モードでは、次のものが必要です。

• Intune MDM 機関である必要があります。
• アプリは、ターゲット デバイスに既にインストールされている必要があります。
• デバイスが適切に プロビジョニングされている必要があります。

ネットワーク境界を作成するための新しいデバイス構成プロファイル

ネットワーク境界と呼ばれる新しいデバイス構成プロファイルは、他のデバイス構成プロファイルと共に見つけることができます。 このプロファイルを使用して、企業と信頼されていると見なされるオンライン リソースを定義します。 Windows Defender Application Guardや Windows Information Protectionなどの機能をデバイスで使用するには、デバイスのネットワーク境界を定義する必要があります。 デバイスごとに 1 つのネットワーク境界のみを定義することが重要です。

信頼されていると見なされるエンタープライズ クラウド リソース、IP アドレス範囲、および内部プロキシ サーバーを定義できます。 定義したネットワーク境界は、Windows Defender Application Guardや Windows Information Protectionなどの他の機能によって使用できます。

Windows Defender ウイルス対策の 2 つの新しい設定

ファイル ブロック レベル

設定	詳細
Not Configured	[未構成] では、既定のWindows Defenderウイルス対策ブロック レベルが使用され、正当なファイルを検出するリスクを高めることなく、強力な検出が提供されます。
高	High では、強力なレベルの検出が適用されます。
高 +	High + は、クライアントのパフォーマンスに影響を与える可能性のあるより多くの保護対策を高レベルに提供します。
不寛容	ゼロ トレランス では、不明な実行可能ファイルがすべてブロックされます。

可能性は低いですが、 High に設定すると、一部の正当なファイルが検出される可能性があります。 [ファイル のブロック レベル] を既定の [ 未構成] に設定することをお勧めします。

クラウドによるファイル スキャンのタイムアウト拡張機能

設定	詳細
秒数 (0 から 50)	クラウドからの結果を待機している間にウイルス対策Windows Defenderファイルをブロックする最大時間を指定します。 既定の量は 10 秒です。ここで指定した追加時間 (最大 50 秒) が 10 秒に追加されます。 ほとんどの場合、スキャンにかかる時間は最大値よりもはるかに短くなります。 時間を長くすると、クラウドは疑わしいファイルを徹底的に調査できます。 この設定を有効にし、少なくとも 20 秒を追加して指定することをお勧めします。

Windows 10 デバイス用に追加された Citrix VPN

Citrix VPN は、Windows 10デバイス用に構成できます。 Windows 10以降の VPN を構成する場合は、[ベース VPN] ブレードの [接続の種類の選択] ボックスの一覧で Citrix VPN を選択できます。

注:

iOS と Android 用に Citrix 構成が存在しました。

Wi-Fi 接続では、iOS で事前共有キーがサポートされます

お客様は、iOS デバイス上の WPA/WPA2 個人用接続に事前共有キー (PSK) を使用するように Wi-Fi プロファイルを構成できます。 これらのプロファイルは、デバイスがIntuneに登録されるときに、ユーザーのデバイスにプッシュされます。

プロファイルがデバイスにプッシュされると、次の手順はプロファイルの構成によって異なります。 自動的に接続するように設定すると、ネットワークが次に必要になったときに接続されます。 プロファイルが手動で接続されている場合、ユーザーは接続を手動でアクティブにする必要があります。

iOS のマネージド アプリ ログへのアクセス

マネージド ブラウザーがインストールされているエンド ユーザーは、すべての Microsoft 公開アプリの管理状態を表示し、管理対象の iOS アプリのトラブルシューティングのためにログを送信できるようになりました。

iOS デバイスのマネージド ブラウザーでトラブルシューティング モードを有効にする方法については、「iOS 上の マネージド ブラウザーを使用してマネージド アプリ ログにアクセスする方法」を参照してください。

iOS 用ポータル サイト バージョン 2.9.0 でのデバイスのセットアップ ワークフローの機能強化

iOS 用のポータル サイト アプリで、デバイスのセットアップ ワークフローが改善されました。 言葉がよりわかりやすくなり、可能な範囲で画面をまとめました。 言語は、セットアップ テキスト全体で会社名を使用して、会社に固有です。 この更新されたワークフローは、 アプリ UI ページの新機能に関するページで確認できます。

ユーザー エンティティには、Data Warehouse データ モデルに最新のユーザー データが含まれています

Intune Data Warehouse データ モデルの最初のバージョンには、最近の履歴Intuneデータのみが含まれていました。 レポート作成者は、ユーザーの現在の状態をキャプチャできませんでした。 この更新プログラムでは、 User エンティティ に最新のユーザー データが設定されます。

2017 年 10 月

iOS および Android 基幹業務アプリのバージョン番号が表示される

Intuneのアプリで、iOS および Android 基幹業務アプリのバージョン番号が表示されるようになりました。 番号は、アプリの一覧とアプリの概要ブレードのAzure portalに表示されます。 エンド ユーザーは、ポータル サイト アプリと Web ポータルでアプリ番号を確認できます。

完全なバージョン番号 完全なバージョン番号は、アプリの特定のリリースを識別します。 番号は Version(Build) として表示されます。 たとえば、2.2(2.2.17560800)

完全なバージョン番号には、次の 2 つのコンポーネントがあります。

• バージョン
  バージョン番号は、アプリの人間が判読できるリリース番号です。 この情報は、エンド ユーザーがアプリのさまざまなリリースを識別するために使用されます。

• ビルド番号
  ビルド番号は、アプリの検出やプログラムによるアプリの管理に使用できる内部番号です。 ビルド番号は、コード内の変更を参照するアプリのイテレーションを指します。

バージョン番号と基幹業務アプリの開発の詳細については、「Microsoft Intune App SDK の概要」を参照してください。

デバイスとアプリの管理の統合

Intuneのモバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) の両方がAzure portalからアクセスできるようになったので、Intuneアプリケーションとデバイスの管理に関する IT 管理者エクスペリエンスの統合を開始しました。 これらの変更は、デバイスとアプリの管理エクスペリエンスを簡素化するために用意されています。

詳細については、Intune サポート チームのブログで発表されている MDM と MAM の変更に関するページを参照してください。

Apple デバイスの新しい登録アラート

登録の概要ページには、Apple デバイスの管理に関する IT 管理者向けの便利なアラートが表示されます。 Apple MDM プッシュ証明書が次の場合、[概要] ページにアラートが表示されます。

• 有効期限が切れているか、既に期限切れになっている
• デバイス登録プログラム トークンの有効期限が切れているか、既に有効期限が切れている場合
• デバイス登録プログラムに割り当てられていないデバイスがある場合

デバイス登録なしでアプリ構成のトークン置換をサポートする

登録されていないデバイス上のアプリのアプリ構成では、動的な値にトークンを使用できます。 詳細については、「 デバイス登録なしでマネージド アプリのアプリ構成ポリシーを追加する」を参照してください。

Windows 10 用ポータル サイト アプリの更新内容

Windows 10 用ポータル サイト アプリの [設定] ページが更新され、すべての設定で、設定と目的のユーザー アクションの一貫性が高まっています。 また、その他の Windows アプリのレイアウトと一致させる更新も行われています。 前/後の画像は、 アプリ UI ページの新機能で 確認できます。

Windows 10 デバイスに表示できるデバイス情報をエンド ユーザーに通知する

Windows 10のポータル サイト アプリの [デバイスの詳細] 画面に所有権の種類が追加されました。 この機能を使用すると、ユーザーはエンド ユーザー ドキュメントからこのページから直接プライバシーの詳細Intune確認できます。また、[バージョン情報] 画面でこの情報を見つけることもできます。

Android 用のポータル サイト アプリに関するフィードバック プロンプト

Android 用のポータル サイト アプリがエンド ユーザーのフィードバックを要求するようになりました。 このフィードバックは Microsoft に直接送信され、エンド ユーザーはパブリック Google Play ストアでアプリを確認する機会を提供します。 フィードバックは必要ありません。ユーザーがアプリを引き続き使用できるように、簡単に無視できます。

ユーザーが Android 用のポータル サイト アプリを使用できるように支援する

Android 用のポータル サイト アプリでは、エンド ユーザーが新しいユース ケースで理解し、可能な場合は自己解決できるように、エンド ユーザー向けの指示が追加されました。

• エンド ユーザーは、追加が許可されているデバイスの最大数に達した場合にデバイスを削除するために、Microsoft Entra 管理センターに案内されます。
• エンド ユーザーには、 Samsung Knox デバイスのアクティブ化エラーを修正 したり 、省電力モードをオフにしたりするための手順が示されています。 どちらの解決策も問題を解決しない場合は、Android 用のポータル サイトまたはIntune アプリで問題を報告する方法の説明を提供します。

Android デバイスで使用できる新しい "解決" アクション

Android 用ポータル サイト アプリでは、[デバイス設定の更新] ページで "解決" アクションが導入されています。 このオプションを選択すると、エンド ユーザーは、デバイスが非準拠の原因となっている設定に直接移動します。 Android 用のポータル サイト アプリでは、現在、デバイス のパスコード、USB デバッグ、不明なソースの設定に対してこのアクションがサポートされています。

Android ポータル サイトのデバイスセットアップ進行状況インジケーター

Android 用ポータル サイト アプリには、ユーザーがデバイスを登録しているときに、デバイスセットアップの進行状況インジケーターが表示されます。 このインジケーターには、"デバイスのセットアップ..."、"デバイスの登録...."、"デバイスの登録の完了..."、"デバイスのセットアップの完了"から始まる新しい状態が表示されます。

iOS のポータル サイトでの証明書ベースの認証のサポート

iOS 用のポータル サイト アプリで、証明書ベースの認証 (CBA) のサポートが追加されました。 CBA を持つユーザーは自分のユーザー名を入力し、[証明書でサインイン] リンクをタップします。 CBA は、Android と Windows 用のポータル サイト アプリで既にサポートされています。 詳細については、ポータル サイト アプリ ページへのサインインに関するページを参照してください。

登録の有無にかかわらず使用できるアプリを、登録を求めることなくインストールできるようになりました。

Android ポータル サイト アプリで登録の有無にかかわらず使用できるようになった会社のアプリを、登録を求めずにインストールできるようになりました。

Microsoft IntuneでのWindows Autopilot Deployment プログラムのサポート

Windows Autopilot Deployment プログラムでMicrosoft Intuneを使用して、IT を使用せずにユーザーが会社のデバイスをプロビジョニングできるようになりました。 すぐに使用できるエクスペリエンス (OOBE) をカスタマイズし、ユーザーがデバイスに参加してIntuneにMicrosoft Entra IDして登録するようにガイドできます。 Microsoft Intuneと Windows Autopilot を組み合わせることで、オペレーティング システム イメージを展開、保守、管理する必要がなくなります。 詳細については、「 Windows Autopilot 展開プログラムを使用して Windows デバイスを登録する」を参照してください。

デバイス登録のクイック スタート

クイック スタートは デバイス登録 で利用できるようになりました。プラットフォームの管理と登録プロセスの構成に関するリファレンスの表を示します。 各項目の簡単な説明と、詳細な手順を含むドキュメントへのリンクは、作業の開始を簡略化するための便利なドキュメントを提供します。

デバイスの分類

[デバイスの概要] > ブレードの登録済みデバイス プラットフォーム グラフでは、Android、iOS、macOS、Windows など、デバイスがプラットフォーム別に整理されます。 他のオペレーティング システムを実行しているデバイスは、"その他" にグループ化されます。その他のカテゴリには、Blackberry、NOKIA などのデバイスが含まれます。

テナントで影響を受けるデバイスを確認するには、[すべてのデバイスの管理>] を選択し、[フィルター] を使用して OS フィールドを制限します。

Zimperium - 新しい Mobile Threat Defense パートナー

Microsoft Intuneと統合されたモバイル脅威防御ソリューションである Zimperium によって行われたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

Intuneとの統合のしくみ

リスクは、Zimperium を実行しているデバイスから収集されたテレメトリに基づいて評価されます。 デバイス コンプライアンス ポリシーを使用して有効になっている Zimperium リスク評価に基づいて EMS 条件付きアクセス (CA) ポリシー Intune構成できます。 次に、CA ポリシーを使用して、検出された脅威に基づいて非準拠デバイスが企業リソースにアクセスすることを許可またはブロックします。

デバイス制限プロファイルの新しい設定Windows 10

Windows Defender SmartScreen カテゴリの Windows 10 デバイス制限プロファイルに新しい設定を追加します。

Windows 10 デバイス制限プロファイルの詳細については、「Windows 10以降のデバイス制限設定」を参照してください。

Windows および Windows Mobile デバイスのリモート サポート

Intune個別に購入した TeamViewer ソフトウェアを使用して、Windows および Windows Mobile デバイスを実行しているユーザーにリモート アシスタンスを提供できるようになりました。

Windows Defenderを使用してデバイスをスキャンする

マネージド Windows 10 デバイスで、Windows Defender ウイルス対策を使用してクイック スキャン、フル スキャン、および更新署名を実行できるようになりました。 デバイスの [概要] ブレードで、デバイスで実行するアクションを選択します。 コマンドがデバイスに送信される前に、アクションを確認するように求められます。

クイック スキャン: クイック スキャンでは、レジストリ キーや既知の Windows スタートアップ フォルダーなど、マルウェアが起動するために登録されている場所がスキャンされます。 クイック スキャンには平均 5 分かかります。 ファイルを開いたり閉じたり、ユーザーがフォルダーに移動したりするたびにスキャンする Always-on リアルタイム保護 設定と組み合わせることで、クイック スキャンを使用すると、システムまたはカーネル内にある可能性のあるマルウェアからの保護を提供できます。 完了すると、ユーザーはデバイスにスキャン結果を表示します。

フル スキャン: 完全スキャンは、マルウェアの脅威が発生したデバイスで役立ち、より詳細なクリーンを必要とし、オンデマンド スキャンの実行に役立つ非アクティブなコンポーネントがあるかどうかを特定できます。 フル スキャンの実行には 1 時間かかることがあります。 完了すると、ユーザーはデバイスにスキャン結果を表示します。

[署名の更新]: [署名の更新] コマンドは、ウイルス対策マルウェアの定義と署名Windows Defender更新します。 この機能は、Windows Defenderウイルス対策がマルウェアの検出に効果的であることを確認するのに役立ちます。 この機能は、Windows 10デバイス専用で、デバイスのインターネット接続が保留中です。

[有効/無効] ボタンは、Intune Azure portalの [証明機関のIntune] ページから削除されます。

Intuneで証明書コネクタを設定する際の追加の手順は不要です。 現在、証明書コネクタをダウンロードし、Intune コンソールで有効にします。 ただし、Intune コンソールでコネクタを無効にした場合、コネクタは引き続き証明書を発行します。

この変更は私にどのような影響を与えるのですか?

10 月以降、Azure portalの [証明機関] ページに [有効/無効] ボタンが表示されなくなります。 コネクタの機能は変わりません。 証明書は引き続き、Intuneに登録されているデバイスに展開されます。 引き続き証明書コネクタをダウンロードしてインストールできます。 証明書の発行を停止するために、証明書コネクタを無効にするのではなく、その証明書コネクタをアンインストールします。

この変更に関してどのような準備をすればよいのですか?

現在、証明書コネクタを無効にしている場合は、アンインストールする必要があります。

デバイス制限プロファイルの新しい設定Windows 10 Team

このリリースでは、Surface Hub デバイスの制御に役立つ多くの新しい設定を Windows 10 Team デバイス制限プロファイルに追加しました。

このプロファイルの詳細については、「Windows 10 Teamデバイス制限設定」を参照してください。

Android デバイスのユーザーがデバイスの日付と時刻を変更できないようにする

Android カスタム デバイス ポリシーを使用して、Android デバイス ユーザーがデバイスの日付と時刻を変更できないようにすることができます。

この機能を使用するには、設定 URI を使用して Android カスタム ポリシーを構成します ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange。 値を TRUE に設定し、必要なグループに割り当てます。

BitLocker デバイスの構成

Windows 暗号化>ベース設定には、ユーザーのデバイスで使用されている可能性がある他のディスク暗号化に対する警告プロンプトを無効にできる新しい [別のディスク暗号化の警告] 設定が含まれています。 警告プロンプトでは、デバイスで BitLocker を設定する前にエンド ユーザーの同意が必要であり、エンド ユーザーによって確認されるまで BitLocker セットアップをブロックします。 新しい設定では、エンド ユーザーの警告が無効になります。

ビジネス 向けボリューム購入プログラムアプリが、Intune テナントと同期されるようになりました

サード パーティの開発者は、iTunes Connect で指定された承認されたボリューム購入プログラム (VPP) for Business メンバーにアプリを非公開で配布できます。 VPP for Business メンバーは、ボリューム購入プログラム App Storeにサインインし、アプリを購入できます。

このリリースでは、エンド ユーザーが購入した VPP for Business アプリが、Intune テナントとの同期を開始します。

VPP アプリを同期するには、Apple の国/地域ストアを選択します

VPP トークンをアップロードするときに、ボリューム購入プログラム (VPP) の国/地域ストアを構成できます。 指定された VPP 国/リージョン別ストアにある全ロケールに対応した VPP アプリが、Intune によって同期されます。

注:

現在、Intuneは、Intune テナントが作成されたIntuneロケールに一致する VPP 国/地域ストアの VPP アプリのみを同期します。

Android for Work で仕事用プロファイルと個人用プロファイル間のコピーと貼り付けをブロックする

このリリースでは、Android for Work の仕事用プロファイルを構成して、仕事用アプリと個人用アプリ間のコピーと貼り付けをブロックできます。 この新しい設定は、「Android for Work Platform のデバイス制限プロファイル」の「仕事用プロファイル設定」で確認できます。

特定のリージョンの Apple App Store に制限されている iOS アプリのCreate

Apple App Store マネージド アプリの作成時に、国/地域のロケールを指定できます。

注:

現在、Apple App Storeマネージド アプリは、米国の国/地域ストアにのみ作成できます。

iOS VPP ユーザーとデバイス ライセンスアプリを更新する

iOS VPP トークンを構成して、Intune サービスを通じてそのトークンに対して購入したすべてのアプリを更新できます。 Intuneは、アプリ ストア内の VPP アプリの更新プログラムを検出し、デバイスのチェックイン時に自動的にデバイスにプッシュします。

VPP トークンを設定して自動更新を有効にする手順については、「ボリューム購入プログラムを使用して購入した iOS アプリをMicrosoft Intuneで管理する方法」(../apps/vpp-apps-ios)。

Intune Data Warehouse データ モデルに追加されたユーザー デバイス関連付けエンティティコレクション

ユーザーエンティティコレクションとデバイスエンティティコレクションを関連付けるユーザーデバイス関連付け情報を使用して、レポートとデータの視覚化を構築できるようになりました。 データ モデルには、Data Warehouse Intune ページから取得した Power BI ファイル (PBIX)、OData エンドポイント、またはカスタム クライアントを開発することでアクセスできます。

Windows 10更新リングのポリシーコンプライアンスを確認する

Windows 10更新リングのポリシー レポートは、ソフトウェア更新プログラム>の更新プログラムごとのリングの展開状態から確認できます。 ポリシー レポートには、構成した更新リングの展開状態が含まれます。

古い iOS バージョンの iOS デバイスを一覧表示する新しいレポート

古い iOS デバイス レポートは、[ソフトウェア更新プログラム] ワークスペースから入手できます。 レポートでは、iOS 更新ポリシーの対象であり、利用可能な更新プログラムがある監視対象の iOS デバイスの一覧を表示できます。 デバイスごとに、デバイスが自動的に更新されていない理由の状態を表示できます。

トラブルシューティングのためのアプリ保護ポリシーの割り当てを表示する

この今後のリリースでは、アプリ保護 ポリシー オプションが、[トラブルシューティング] ブレードで使用できる [割り当て] ドロップダウン リストに追加されます。 アプリ保護ポリシーを選択して、選択したユーザーに割り当てられているアプリ保護ポリシーを表示できるようになりました。

ポータル サイトでのデバイスのセットアップ ワークフローの機能強化

Android 用ポータル サイト アプリにおけるデバイスのセットアップ ワークフローを改善しました。 言語がよりわかりやすく、会社固有のものとなり、可能な範囲で画面をまとめるようにしました。 これらの変更は、 アプリ UI ページの新機能で 確認できます。

Android デバイスでの連絡先へのアクセス要求に関するガイダンスの改善

Android 用のポータル サイト アプリでは、多くの場合、エンド ユーザーが連絡先のアクセス許可を受け入れる必要があります。 エンド ユーザーがこのアクセスを拒否すると、アプリ内通知が表示され、条件付きアクセスを許可するように通知されます。

Android 用のセキュリティで保護されたスタートアップ修復

Android デバイスを使用しているエンド ユーザーは、ポータル サイト アプリでコンプライアンス違反の理由をタップできます。 可能であれば、問題を解決するために、設定アプリの正しい場所に直接移動します。

Android Oreo 用のポータル サイト アプリのエンド ユーザーに対するプッシュ通知

エンド ユーザーには、Android Oreo 用のポータル サイト アプリがバックグラウンド タスクを実行している場合 (Intune サービスからポリシーを取得するなど) を示す通知が表示されます。 この機能:

• ポータル サイトがデバイスで管理タスクを実行するタイミングについて、エンド ユーザーの透明性を高めます。
• Android Oreo 用のポータル サイト アプリのポータル サイト UI の全体的な最適化の一部です

Android Oreo で有効になっている新しい UI 要素については、さらに最適化が行われています。 エンド ユーザーには、Intune サービスからポリシーを取得するなど、ポータル サイトがバックグラウンド タスクを実行しているときに示すその他の通知が表示されます。 これにより、ポータル サイトがデバイスで管理タスクを実行するタイミングに関するエンド ユーザーの透明性が向上します。

仕事用プロファイルを使用した Android 用ポータル サイト アプリの新しい動作

Android for Work デバイスを仕事用プロファイルに登録すると、デバイスで管理タスクを実行する仕事用プロファイル内のポータル サイト アプリになります。

個人プロファイルで MAM 対応アプリを使用していない限り、Android 用のポータル サイト アプリは使用できなくなります。 仕事用プロファイルのエクスペリエンスを向上させるために、Intuneは、仕事用プロファイルの登録が成功した後、個人用ポータル サイト アプリを自動的に非表示にします。

Android 用のポータル サイト アプリは、Play ストアでポータル サイトを参照し、[有効] をタップすることで、個人プロファイルでいつでも有効にすることができます。

Windows 8.1とWindows Phone 8.1 のポータル サイトを維持モードに移行する

2017 年 10 月以降、Windows 8.1 および Windows Phone 8.1 用のポータル サイト アプリは、サステイニング モードに移行します。 登録やコンプライアンスなどのアプリと既存のシナリオは、引き続きこれらのプラットフォームでサポートされます。 これらのアプリは、Microsoft Store などの既存のリリース チャネルを通じて引き続きダウンロードできます。

サステイン モードになると、これらのアプリは重要なセキュリティ更新プログラムのみを受け取ります。 これらのアプリに対してリリースされるその他の更新プログラムや機能はありません。 新機能の場合は、デバイスを Windows 10 または Windows 10 Mobile に更新することをお勧めします。

サポートされていない Samsung Knox デバイスの登録をブロックする

ポータル サイト アプリは、サポートされている Samsung Knox デバイスの登録のみを試みます。 MDM 登録を妨げる Knox ライセンス認証エラーを回避するために、デバイスの登録は、 Samsung によって発行されたデバイスの一覧にデバイスが表示される場合にのみ試行されます。 Samsung デバイスには、Knox をサポートするモデル番号を持つことができますが、そうでないデバイスもあります。 購入と展開の前に、Knox とデバイス リセラーの互換性を確認します。 確認済みデバイスの完全な一覧は 、Android と Samsung Knox Standard ポリシー設定にあります。

Android 4.3 以降のサポート終了

Android 用のマネージド アプリとポータル サイト アプリでは、会社のリソースにアクセスするには Android 4.4 以降が必要です。 12 月までに、登録されているすべてのデバイスは 12 月に強制的に廃止され、会社のリソースへのアクセスが失われます。 MDM を使用しないアプリ保護ポリシーを使用している場合、アプリは更新プログラムを受け取らず、時間の経過と伴ってエクスペリエンスの品質が低下します。

登録済みデバイスで表示できるデバイス情報をエンド ユーザーに通知する

すべてのポータル サイトアプリの [デバイスの詳細] 画面に所有権の種類を追加しています。 この機能:

• プライバシーに関する詳細については、会社で確認 できる情報 に関する記事を参照してください。
• 間もなく、すべてのポータル サイトアプリに展開されます。 この情報は、 9 月に iOS 向けに発表されました。

2017 年 9 月

Intuneは iOS 11 をサポートしています

Intuneは iOS 11 をサポートしています。 このサポートは、以前に Intune サポート ブログで発表されました。

iOS 8.0 のサポート終了

マネージド アプリと iOS 用のポータル サイト アプリでは、会社のリソースにアクセスするには iOS 9.0 以降が必要です。 この 9 月より前に更新されていないデバイスは、ポータル サイトまたはそれらのアプリにアクセスできなくなります。

Windows 10のポータル サイト アプリに追加された更新アクション

Windows 10用のポータル サイト アプリを使用すると、ユーザーはプルして更新するか、デスクトップで F5 キーを押してアプリ内のデータを更新できます。

iOS で表示できるデバイス情報をエンド ユーザーに通知する

iOS 用のポータル サイト アプリの [デバイスの詳細] 画面に所有権の種類が追加されました。 この機能を使用すると、ユーザーはエンド ユーザー ドキュメントからこのページから直接プライバシーの詳細Intune確認できます。また、[バージョン情報] 画面でこの情報を見つけることもできます。

エンド ユーザーが登録なしで Android 用のポータル サイト アプリにアクセスできるようにする

エンド ユーザーは、Android 用の ポータル サイト アプリにアクセスするためにデバイスを登録する必要がすぐにありません。 App Protection ポリシーを使用している組織のエンド ユーザーは、ポータル サイト アプリを開いたときにデバイスを登録するためのプロンプトを受け取らなくなります。 エンド ユーザーは、デバイスを登録せずに、ポータル サイトからアプリをインストールすることもできます。

Android 用ポータル サイト アプリの文言をわかりやすいように変更

Android 用のポータル サイト アプリの登録プロセスは、エンド ユーザーが登録しやすくするために、新しいテキストで簡略化されています。 カスタム登録ドキュメントをお持ちの場合は、ドキュメントを更新して新しい画面を反映したいと思われるかもしれません。 サンプル 画像は、エンド ユーザー アプリの UI 更新プログラムIntuneページにあります。

Windows Information Protection 許可ポリシーに追加されたアプリWindows 10 ポータル サイト

Windows Information Protection (WIP) をサポートするように、Windows 10 ポータル サイト アプリが更新されました。 アプリは WIP 許可ポリシーに追加できます。 この変更により、アプリを [除外 ] リストに追加する必要がなくなりました。

2017 年 8 月

デバイスの概要の機能強化

デバイスの概要の改善により、登録済みデバイスが表示されるようになりましたが、Exchange ActiveSyncによって管理されているデバイスは除外されます。 Exchange ActiveSyncデバイスには、登録済みデバイスと同じ管理オプションがありません。 Azure portalのIntuneで、登録されているデバイスの数とプラットフォーム別の登録済みデバイスの数を表示するには、[デバイスの概要] に移動します>。

Intuneによって収集されたデバイス インベントリの機能強化

このリリースでは、管理するデバイスによって収集されるインベントリ情報が次のように改善されました。

• Android デバイスの場合、各デバイスの最新のパッチ レベルを示す列をデバイス インベントリに追加できるようになりました。 デバイスの一覧に [セキュリティ パッチ レベル ] 列を追加して、パッチ レベルを確認します。
• デバイス ビューをフィルター処理するときに、登録日でデバイスをフィルター処理できるようになりました。 たとえば、指定した日付の後に登録されたデバイスのみを表示できます。
• [最終チェックイン日] 項目で使用されるフィルターが改善されました。
• デバイスの一覧で、企業所有デバイスの電話番号を表示できるようになりました。 また、フィルター ウィンドウを使用して、電話番号でデバイスを検索することもできます。

デバイス インベントリの詳細については、「デバイス インベントリIntune表示する方法」を参照してください。

macOS デバイスの条件付きアクセスのサポート

Mac デバイスをIntuneに登録し、そのデバイス コンプライアンス ポリシーに準拠することを要求する条件付きアクセス ポリシーを設定できるようになりました。 たとえば、ユーザーは macOS 用のIntune ポータル サイト アプリをダウンロードし、Mac デバイスをIntuneに登録できます。 Intune、Mac デバイスが PIN、暗号化、OS バージョン、システム整合性などの要件に準拠しているかどうかを評価します。

• macOS デバイスの条件付きアクセスのサポートの詳細については、こちらをご覧ください。

macOS 用アプリポータル サイトパブリック プレビュー中

macOS 用のポータル サイト アプリが、Enterprise Mobility + Securityの条件付きアクセスのパブリック プレビューの一部として使用できるようになりました。 このリリースでは、macOS 10.11 以降がサポートされています。 で https://aka.ms/macOScompanyportal入手します。

Windows 10の新しいデバイス制限設定

このリリースでは、Windows 10 デバイス制限プロファイルの新しい設定を次のカテゴリに追加しました。

• Windows Defender SmartScreen
• アプリ ストア

BitLocker 設定のWindows 10 エンドポイント保護デバイス プロファイルにUpdatesする

このリリースでは、Windows 10 エンドポイント保護デバイス プロファイルでの BitLocker 設定の動作を次のように改善しました。

• [ BitLocker OS ドライブの設定] の [ 互換性のない TPM チップを持つ BitLocker] の設定で、[ ブロック] を選択すると、この値によって BitLocker が実際に許可されます。 これで、BitLocker が選択されたときにブロックされます。
• [BitLocker OS ドライブの設定] の [証明書ベースのデータ復旧エージェント] の設定で、証明書ベースのデータ復旧エージェントを明示的にブロックできるようになりました。 ただし、既定では、エージェントは許可されます。
• BitLocker 固定データ ドライブ設定で、データ復旧エージェントの設定に対して、データ復旧エージェントを明示的にブロックできるようになりました。 詳細については、「Windows 10 以降のエンドポイント保護設定」を参照してください。

Android ポータル サイト ユーザーと App Protection Policy ユーザー向けの新しいサインイン エクスペリエンス

エンド ユーザーは、Android デバイスを登録せずに、Android ポータル サイト アプリを使用してアプリの閲覧、デバイスの管理、IT 連絡先情報の表示を行えるようになりました。 さらに、エンド ユーザーが既に Intune App Protection Policies によって保護されたアプリを使用し、Android ポータル サイトを起動した場合、エンド ユーザーはデバイスを登録するためのプロンプトを受け取らなくなります。

バッテリーの最適化を切り替える Android ポータル サイト アプリの新しい設定

Android 用ポータル サイト アプリの [設定] ページには、ユーザーがポータル サイトアプリと Microsoft Authenticator アプリのバッテリー最適化を簡単にオフにできる新しい設定があります。 設定に表示されるアプリ名は、どのアプリが職場アカウントを管理したかによって異なります。 ユーザーは、メールとデータを同期する仕事用アプリのパフォーマンスを向上させるために、バッテリーの最適化をオフにすることをお勧めします。

iOS 用 OneNote のマルチ ID サポート

エンド ユーザーは、Microsoft OneNote for iOS でさまざまなアカウント (仕事用と個人用) を使用できるようになりました。 アプリ保護ポリシーは、個人用ノートブックに影響を与えることなく、仕事用ノートブック内の企業データに適用できます。 たとえば、ポリシーを使用すると、ユーザーは作業ノートブック内の情報を見つけることができますが、ユーザーが作業ノートブックから個人用ノートブックにコピーして貼り付け、会社のデータをコピーして貼り付けできなくなります。

• Intune で アプリ保護と複数の ID をサポートするアプリについての詳細を参照してください。

Samsung Knox Standard デバイスでアプリを許可およびブロックするための新しい設定

このリリースでは、次のアプリ リストを指定できる新しい デバイス制限設定 を追加します。

• ユーザーがインストールを許可されているアプリ
• ユーザーが実行をブロックされているアプリ
• デバイス上のユーザーから非表示になっているアプリ

URL、パッケージ名、または管理するアプリの一覧からアプリを指定できます。

Intuneからの新しいMicrosoft Entra アプリベースの条件付きアクセス ポリシー UI リンク

IT 管理者は、Microsoft Entra ワークロードの新しい条件付きアクセス ポリシー UI を使用して、アプリベースの条件付きポリシーを設定できるようになりました。 Azure portalの [アプリ保護のIntune] セクションにあるアプリベースの条件付きアクセスは、当面はそこに残り、並行して適用されます。 また、Intune ワークロードの新しい条件付きアクセス ポリシー UI への便利なリンクもあります。

• アプリベースの条件付きアクセスの詳細については、Microsoft Entra IDに関するページを参照してください。

2017 年 7 月

OS バージョン別に Android と iOS デバイスの登録制限を制限する

Intuneでは、オペレーティング システムのバージョン番号による iOS と Android の登録の制限がサポートされるようになりました。 [ デバイスの種類の制限] で、IT 管理者はプラットフォーム構成を設定して、オペレーティング システムの最小値と最大値の間で登録を制限できるようになりました。 Android オペレーティング システムのバージョンは、Major.Minor.Build.Rev として指定する必要があります。Minor、Build、Rev は省略可能です。 iOS バージョンは Major.Minor.Build として指定する必要があります。Minor と Build は省略可能です。 デバイス登録の制限について詳しくは、こちらをご覧ください。

注:

Apple 登録プログラムまたは Apple Configurator を使用して登録を制限しません。

Android、iOS、macOS デバイスの個人所有デバイスの登録を制限する

Intuneは、会社のデバイス IMEI 番号を許可リストに追加することで、個人のデバイス登録を制限できます。 Intuneでは、デバイスのシリアル番号を使用して、この機能を iOS、Android、macOS に拡張しました。 シリアル番号をIntuneにアップロードすることで、デバイスを企業所有として事前に宣言できます。 登録制限を使用すると、個人所有 (BYOD) デバイスをブロックし、企業所有のデバイスに対してのみ登録を許可できます。 デバイス登録の制限について詳しくは、こちらをご覧ください。

シリアル番号をインポートするには、[デバイス登録>] [会社のデバイス識別子] [追加] の順に>移動します。 .CSV ファイル (ヘッダーなし、シリアル番号の 2 列、IMEI 番号などの詳細) をアップロードします。 個人所有のデバイスを制限するには、「デバイス登録の登録>の制限」を参照してください。 [ デバイスの種類の制限] で、[ 既定 ] を選択し、[ プラットフォーム構成] を選択します。 iOS、Android、macOS 用の個人所有デバイスを 許可 または ブロック できます。

デバイスを強制的にIntuneと同期させる新しいデバイス アクション

このリリースでは、選択したデバイスを Intune ですぐにチェックする新しいデバイス アクションを追加しました。 チェックインしたデバイスには、それに対して保留中のアクションまたはポリシーが即座に割り当てられます。 このアクションは、次にスケジュールされたチェックを待たずに、割り当てたポリシーをすぐに検証してトラブルシューティングするのに役立ちます。 詳細については、「デバイスの同期」を参照してください。

監視対象の iOS デバイスに、利用可能な最新のソフトウェア更新プログラムを自動的にインストールするように強制する

[ソフトウェア更新プログラム] ワークスペースから新しいポリシーを使用できます。監視対象の iOS デバイスが、利用可能な最新のソフトウェア更新プログラムを自動的にインストールするように強制できます。 詳細については、「iOS 更新ポリシーの構成」を参照してください。

Check Point SandBlast Mobile - 新しいモバイル脅威防御パートナー

Checkpoint SandBlast Mobile によって実施されたリスク評価に基づいて、条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。 Checkpoint SandBlast Mobile は、Microsoft Intuneと統合されるモバイル脅威防御ソリューションです。

Intuneとの統合のしくみ

リスクは、Checkpoint SandBlast Mobile を実行しているデバイスから収集されたテレメトリに基づいて評価されます。 デバイス コンプライアンス ポリシーを使用して有効なチェックポイント SandBlast Mobile リスク評価に基づいて EMS 条件付きアクセス ポリシー Intune構成できます。 検出された脅威に基づいて、非準拠デバイスから企業リソースへのアクセスを許可またはブロックできます。

ビジネス向け Microsoft Storeで使用可能なアプリをデプロイする

このリリースでは、管理者は使用可能なビジネス向け Microsoft Storeを割り当てることができます。 使用可能に設定すると、エンド ユーザーは、Microsoft Store にリダイレクトされることなく、ポータル サイト アプリまたは Web サイトからアプリをインストールできます。

ポータル サイト Web サイトの UI の更新

エンド ユーザー エクスペリエンスを強化するために、ポータル サイト Web サイトの UI にいくつかの更新を行いました。

• アプリ タイルの機能強化: アプリ アイコンが、アイコンの主要な色 (検出可能な場合) に基づいて自動的に生成された背景と共に表示されるようになりました。 該当する場合、この背景は、以前にアプリ タイルに表示されていた灰色の境界線に置き換えられます。

  ポータル サイト Web サイトには、今後のリリースで可能な限り大きなアイコンが表示されます。 IT 管理者は、最小サイズが 120 x 120 ピクセルの高解像度アイコンを使用してアプリを発行することをお勧めします。

• ナビゲーションの変更: ナビゲーション バーの項目は、左上のハンバーガー メニューに移動されます。 [カテゴリ] ページが削除されます。 ユーザーは、閲覧中にカテゴリ別にコンテンツをフィルター処理できるようになりました。

• おすすめアプリへのUpdates: 機能を選択したアプリをユーザーが閲覧できる専用ページがサイトに追加され、ホームページの [おすすめ] セクションにいくつかの UI の調整が行われました。

ポータル サイト Web サイトに対する iBooks のサポート

ポータル サイト Web サイトに専用ページが追加されました。これにより、ユーザーは iBooks を参照してダウンロードできます。

ヘルプ デスクのトラブルシューティングの詳細

Intuneは、トラブルシューティングの表示を更新し、管理者とヘルプ デスクのスタッフに提供される情報に追加しました。 グループ メンバーシップに基づいて、ユーザーのすべての 割り当てをまとめた Assignments テーブルが表示されるようになりました。 この一覧には、次のものが含まれます。

• モバイル アプリ
• コンプライアンス ポリシー
• 構成プロファイル

さらに、[デバイス] テーブルには、結合の種類とMicrosoft Entra準拠する列Microsoft Entra含まれるようになりました。 詳細については、「ユーザーが 問題のトラブルシューティングを行う」を参照してください。

Intune Data Warehouse (パブリック プレビュー)

Intune Data Warehouseでは、データを毎日サンプリングして、テナントの履歴ビューを提供します。 データには、Power BI ファイル (PBIX)、多くの分析ツールと互換性のある OData リンク、または REST API との対話を使用してアクセスできます。 詳細については、「Intune Data Warehouseを使用する」を参照してください。

Windows 10用のポータル サイト アプリで使用できる明るいモードと暗いモード

エンド ユーザーは、Windows 10のポータル サイト アプリのカラー モードをカスタマイズできます。 ユーザーは、ポータル サイト アプリの [設定] セクションで変更を行うことができます。 変更は、ユーザーがアプリを再起動した後に表示されます。 バージョン 1607 以降Windows 10場合、アプリ モードは既定でシステム設定になります。 バージョン 1511 以前Windows 10場合、アプリ モードは既定でライト モードになります。

エンド ユーザーが ポータル サイト アプリでデバイス グループにタグを付けWindows 10

エンド ユーザーは、Windows 10用のポータル サイト アプリ内から直接タグを付けることで、デバイスが属するグループを選択できるようになりました。

2017 年 6 月

Intune管理者向けの新しいロールベースの管理アクセス

条件付きアクセス ポリシーを表示、作成、変更、削除するために、新しい条件付きアクセス管理者ロールMicrosoft Entra追加されています。 以前は、グローバル管理者とセキュリティ管理者のみがこのアクセス許可を持っていました。 Intune管理者は、条件付きアクセス ポリシーにアクセスできるように、このロールのアクセス許可を付与できます。

会社所有のデバイスにシリアル番号をタグ付けする

Intuneでは、iOS、macOS、Android のシリアル番号を企業デバイス識別子としてアップロードできるようになりました。 シリアル番号は登録中に確認されないため、シリアル番号を使用して、現時点では個人用デバイスの登録をブロックすることはできません。 シリアル番号による個人デバイスのブロックは、近日中にリリースされる予定です。

iOS デバイスの新しいリモート アクション

このリリースでは、Apple Classroom アプリを管理する共有 iPad デバイス用の 2 つの新しいリモート デバイス アクションを追加しました。

• 現在のユーザーをログアウト する - 選択した iOS デバイスの現在のユーザーをサインアウトします。
• [ユーザーの削除 ] - iOS デバイス上のローカル キャッシュから選択したユーザーを削除します。

iOS Classroom アプリを使用した共有 iPad のサポート

このリリースでは、iOS Classroom アプリを管理するためのサポートを拡張し、管理対象の Apple ID を使用して共有 iPad にログインする学生を含めます。

Intune組み込みアプリの変更

以前は、Intuneには、すぐに割り当てることができる多数の組み込みアプリが含まれていました。 フィードバックに基づいて、この一覧が削除され、組み込みのアプリは表示されなくなります。 ただし、組み込みのアプリが既に割り当てられている場合は、アプリの一覧に引き続き表示されます。 必要に応じて、これらのアプリを引き続き割り当てることができます。 以降のリリースでは、Azure portalから組み込みのアプリを選択して割り当てる簡単な方法を追加する予定です。

Microsoft 365 アプリの簡単なインストール

Enterprise アプリの種類の新しいMicrosoft 365 Appsを使用すると、Windows 10の最新バージョンを実行するデバイスにMicrosoft 365 Apps for enterpriseアプリを簡単に割り当てることができます。 また、ライセンスを所有している場合は、Microsoft Project と Microsoft Visio をインストールすることもできます。 目的のアプリがバンドルされ、Intune コンソールのアプリの一覧に 1 つのアプリとして表示されます。 詳細については、「Windows 10用の Microsoft 365 アプリを追加する方法」を参照してください。

ビジネス向け Microsoft Storeからのオフライン アプリのサポート

ビジネス向け Microsoft Storeから購入したオフライン アプリは、Azure portalに同期されるようになります。 その後、これらのアプリをデバイス グループまたはユーザー グループに展開できます。 オフライン アプリは、ストアではなく、Intuneによってインストールされます。

Microsoft Teams は、承認されたアプリのアプリ ベースの CA リストの一部になりました

iOS および Android 用の Microsoft Teams アプリは、Exchange と SharePoint Online のアプリベースの条件付きアクセス ポリシーの承認済みアプリの一部になりました。 アプリは、現在アプリ ベースの条件付きアクセスを使用しているすべてのテナントに対して、Azure portalの [アプリ保護] ブレードIntuneを使用して構成できます。

マネージド ブラウザーとアプリ プロキシの統合

Intune Managed Browserを Microsoft Entra アプリケーション プロキシ サービスと統合して、ユーザーがリモートで作業している場合でも内部 Web サイトにアクセスできるようになりました。 ブラウザーのユーザーは、通常と同様にサイト URL を入力し、マネージド ブラウザーはアプリケーション プロキシ Web ゲートウェイを介して要求をルーティングします。 詳細については、「 マネージド ブラウザー ポリシーを使用したインターネット アクセスの管理」を参照してください。

Intune Managed Browserの新しいアプリ構成設定

このリリースでは、iOS と Android 用の Intune Managed Browser アプリの構成をさらに追加しました。 アプリ構成ポリシーを使用して、ブラウザーの既定のホーム ページとブックマークを構成できるようになりました。 詳細については、「マネージド ブラウザー ポリシーを使用したインターネット アクセスの管理」を参照してください。

Windows 10の BitLocker 設定

新しいIntune デバイス プロファイルを使用して、Windows 10 デバイスの BitLocker 設定を構成できるようになりました。 たとえば、デバイスの暗号化を要求したり、BitLocker をオンにしたときに適用されるその他の設定を構成したりできます。 詳細については、「Windows 10 以降のエンドポイント保護設定」を参照してください。

デバイス制限プロファイルの新しい設定Windows 10

このリリースでは、Windows 10 デバイス制限プロファイルの新しい設定を次のカテゴリに追加しました。

• Windows Defender
• 携帯ネットワークと接続
• ロック画面エクスペリエンス
• プライバシー
• 検索
• Windows スポットライト
• Microsoft Edge ブラウザー

Windows 10設定の詳細については、「Windows 10以降のデバイス制限設定」を参照してください。

Android 用ポータル サイトアプリに、App Protection ポリシーの新しいエンド ユーザー エクスペリエンスが追加されました

ユーザーのフィードバックに基づいて、Android 用ポータル サイト アプリに [会社のコンテンツにアクセスする] ボタンが表示されるようになりました。 このボタンの目的は、Intune モバイル アプリケーション管理の機能であるアプリ保護ポリシーをサポートするアプリにアクセスすることだけが必要なユーザーが、不要な登録プロセスを経なくて済むようにすることです。 これらの変更は、 アプリ UI ページの新機能で 確認できます。

ポータル サイトを簡単に削除できるアクション メニューの追加

Android 用ポータル サイト アプリでは、ユーザーからのフィードバックに基づき、デバイスからポータル サイトの削除を開始できる新しいアクション メニューが追加されました。 この操作では Intune の管理対象からデバイスが削除されるため、ユーザーはデバイスからアプリを削除できるようになります。 これらの変更は、 アプリ UI ページの新機能と Android エンド ユーザーのドキュメントで確認できます。

Windows 10 Creators Update とアプリを同期する機能の強化

Windows 10 用ポータル サイト アプリでは、Windows 10 Creators Update (バージョン 1709) がインストールされているデバイスのアプリ インストール要求の同期が自動的に開始されるようになりました。 この動作により、"保留中の同期" 状態でアプリのインストールがストールする問題が軽減されます。 さらに、ユーザーはアプリ内から手動で同期を開始できます。 これらの変更は、 アプリ UI ページの新機能で 確認できます。

Windows 10 ポータル サイトの新しいガイド機能

Windows 10 用のポータル サイト アプリで、特定または登録されていないデバイス向けのガイド付き Intune チュートリアルを利用できるようになります。 新しいエクスペリエンスでは、ユーザーが Microsoft Entra ID (条件付きアクセス機能に必要) と MDM 登録 (デバイス管理機能に必要) に登録する手順を説明します。 このガイドには、ポータル サイトのホーム ページからアクセスできます。 登録と登録を完了していないが、機能が制限される場合、ユーザーは引き続きアプリを使用できます。

この更新は、Windows 10 Anniversary Update (ビルド 1607) 以降を実行しているデバイスのみで表示されます。 これらの変更は、 アプリ UI ページの新機能で 確認できます。

Microsoft Intune管理センターと条件付きアクセス管理センターを一般公開

Azure portal管理コンソールと条件付きアクセス管理コンソールの両方の新しいIntuneの一般提供を発表します。 Azure portalのIntuneを通じて、1 つの統合管理者エクスペリエンスですべてのIntune MAM および MDM 機能を管理し、Microsoft Entraグループ化とターゲット設定を使用できるようになりました。 Azure の条件付きアクセスは、Microsoft Entra IDとIntuneを 1 つの統合コンソールにまとめる豊富な機能を提供します。 また、管理エクスペリエンスから Azure プラットフォームに移行すると、最新のブラウザーを使用できます。

Intuneは、portal.azure.com のAzure portalにプレビュー ラベルなしで表示されるようになりました。

現時点では、既存の顧客に対するアクションは必要ありません。 グループを移行できるようにアクションを実行することを要求するメッセージ センターで一連のメッセージのいずれかを受信した場合は、アクションが必要です。 また、Microsoft 側のバグが原因で移行に時間がかかっていることを通知するメッセージ センターの通知を受け取る場合もあります。 私たちは、影響を受けるお客様を移行するための努力を続けています。

iOS 用ポータル サイト アプリのアプリ タイルを改善

ポータル サイトに設定したブランド カラーが反映されるよう、ホーム ページのアプリ タイルのデザインを一新しました。 詳細については、 アプリ UI の新機能に関するページを参照してください。

iOS 用ポータル サイト アプリでアカウント選択の提供を開始

iOS デバイスのユーザーは、職場または学校アカウントを使用して他の Microsoft アプリにサインインする場合、ポータル サイトにサインインするときに新しいアカウント ピッカーが表示される場合があります。 詳細については、 アプリ UI の新機能に関するページを参照してください。

2017 年 5 月

管理対象デバイスの登録を解除せずに MDM 機関を変更する

Microsoft サポートに問い合わせることなく、既存の管理対象デバイスの登録を解除して再登録することなく、MDM 機関を変更できるようになりました。 Configuration Manager コンソールでは、MDM 機関を Set から Configuration Manager (ハイブリッド) から Microsoft Intune (スタンドアロン) に、またはその逆に変更できます。

Samsung Knox スタートアップ PIN の通知の改善

エンド ユーザーが Samsung Knox デバイスのスタートアップ PIN を設定して暗号化に準拠する必要がある場合、エンド ユーザーに表示される通知は、通知がタップされたときに設定アプリ内の正確な場所に移動します。 以前は、通知によってエンド ユーザーがパスワード変更画面に移動しました。

共有 iPad での Apple School Manager (ASM) のサポート

Intuneでは、Apple Device Enrollment Program の代わりに Apple School Manager (ASM) を使用して、iOS デバイスをすぐに登録できるようになりました。 ASM オンボードは、共有 iPad 用の Classroom アプリを使用するために必要であり、MICROSOFT 学校データ同期 (SDS) を使用して ASM からMicrosoft Entra IDにデータを同期できるようにする必要があります。 詳細については、「 Apple School Manager で iOS デバイスの登録を有効にする」を参照してください。

注:

Classroom アプリで動作するように共有 iPad を構成するには、Azure の iOS Education 構成がまだ使用できない必要があります。 この機能は近日中に追加される予定です。

TeamViewer を使用して Android デバイスにリモート アシスタンスを提供する

Intune、別途購入した TeamViewer ソフトウェアを使用して、Android デバイスを実行しているユーザーにリモート アシスタンスを提供できるようになりました。 詳細については、「Intuneマネージド Android デバイスのリモート アシスタンスを提供する」を参照してください。

MAM の新しいアプリ保護ポリシーの条件

登録ユーザーなしで MAM の要件を設定し、次のポリシーを適用できるようになりました。

• アプリケーションの最小バージョン
• オペレーティング システム バージョンの最小要件
• 対象アプリケーションの最小Intune APP SDK バージョン (iOS のみ)

この機能は、Android と iOS の両方で利用できます。 Intuneでは、OS プラットフォームのバージョン、アプリケーションバージョン、および APP SDK Intuneの最小バージョン適用がサポートされます。 iOS では、SDK が統合されているアプリケーションでも、SDK レベルで最小バージョンの適用を設定できます。 アプリ保護ポリシーを介した最小要件が上記の 3 つの異なるレベルで満たされていない場合、ユーザーは対象となるアプリケーションにアクセスできません。 この時点で、ユーザーは自分のアカウント (マルチ ID アプリケーションの場合) を削除するか、アプリケーションを閉じるか、OS またはアプリケーションのバージョンを更新できます。

OS またはアプリケーションのアップグレードを推奨する非ブロック通知を提供するように設定を構成することもできます。 この通知は閉じることができ、アプリケーションは通常どおり使用できます。

詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

Android for Work のアプリ構成を構成する

ストアの一部の Android アプリでは、IT 管理者が仕事用プロファイルでのアプリの実行方法を制御できるマネージド構成オプションがサポートされています。 Intuneを使用すると、アプリでサポートされている構成を表示し、構成デザイナーまたは JSON エディターを使用してAzure portalから構成できるようになりました。 詳細については、「 Android for Work のアプリ構成を使用する」を参照してください。

登録なしの MAM 用の新しいアプリ構成機能

登録チャネルを使用せずに MAM を使用してアプリ構成ポリシーを作成できるようになりました。 この機能は、モバイル デバイス管理 (MDM) アプリ構成で使用できるアプリ構成ポリシーと同じです。 登録なしで MAM を使用したアプリ構成の例については、「Microsoft Intuneを使用したマネージド ブラウザー ポリシーを使用したインターネット アクセスの管理」を参照してください。

マネージド ブラウザーの許可 URL リストとブロック URL リストを構成する

アプリ構成設定を使用して、Intune Managed Browserの許可されたドメインとブロックされたドメインと URL の一覧を構成できるようになりました。 これらの設定は、ブラウザーがマネージド デバイスとアンマネージド デバイスのどちらで使用されているかに関係なく構成できます。 詳細については、「Microsoft Intuneでマネージド ブラウザー ポリシーを使用してインターネット アクセスを管理する」を参照してください。

アプリ保護 ポリシー ヘルプデスク ビュー

IT ヘルプデスク ユーザーは、[トラブルシューティング] ブレードでユーザーに割り当てられたユーザー ライセンスの状態とアプリ保護ポリシー アプリの状態をチェックできるようになりました。 詳細については、「 トラブルシューティング」を参照してください。

iOS デバイスでの Web サイトの訪問を制御する

次の 2 つの方法のいずれかを使用して、iOS デバイスのユーザーがアクセスできる Web サイトを制御できるようになりました。

• Apples 組み込みの Web コンテンツ フィルターを使用して、許可された URL とブロックされた URL を追加します。

• Safari ブラウザーからアクセスするには、指定した Web サイトのみを許可します。 ブックマークは、指定したサイトごとに Safari で作成されます。

詳細については、「 iOS デバイスの Web コンテンツ フィルター設定」を参照してください。

Android for Work アプリのデバイスアクセス許可を事前に構成する

Android for Work デバイスの仕事用プロファイルにデプロイされたアプリの場合、個々のアプリのアクセス許可の状態を構成できるようになりました。 既定では、位置情報へのアクセスやデバイス カメラなどのデバイスアクセス許可を必要とする Android アプリは、ユーザーにアクセス許可の受け入れまたは拒否を求めます。 たとえば、アプリがデバイスのマイクを使用している場合、エンド ユーザーはマイクを使用するアクセス許可をアプリに付与するように求められます。 この機能を使用すると、エンド ユーザーに代わってアクセス許可を定義できます。 アクセス許可を a) に構成すると、ユーザーに通知せずに自動的に拒否し、b) ユーザーに通知せずに自動的に承認するか、c) ユーザーに同意または拒否を求めるメッセージを表示できます。 詳細については、Microsoft Intuneの Android for Work デバイス制限設定に関するページを参照してください。

Android for Work デバイスのアプリ固有の PIN を定義する

Android for Work デバイスとして管理されている仕事用プロファイルを持つ Android 7.0 以降のデバイスでは、管理者は、仕事用プロファイル内のアプリにのみ適用されるパスコード ポリシーを定義できます。 オプションは以下のとおりです。

• デバイス全体のパスコード ポリシーのみを定義する - このオプションは、ユーザーがデバイス全体のロックを解除するために使用する必要があるパスコードです。
• 仕事用プロファイルのパスコード ポリシーのみを定義する - ユーザーは、仕事用プロファイル内のアプリが開かれるたびにパスコードの入力を求められます。
• デバイスと仕事用プロファイルの両方のポリシーを定義する - IT 管理者は、デバイス パスコード ポリシーと仕事用プロファイル パスコード ポリシーの両方を異なる長所で定義できます (たとえば、デバイスのロックを解除するための 4 桁の PIN、作業アプリを開くには 6 桁の PIN など)。

詳細については、Microsoft Intuneの Android for Work デバイス制限設定に関するページを参照してください。

注:

これは Android 7.0 以降でのみ使用できます。 既定では、エンド ユーザーは 2 つの個別に定義された PIN を使用するか、2 つの定義された PIN を 2 つの定義された PIN の中で最も強いものに結合するように選択できます。

Windows 10 デバイスの新しい設定

ワイヤレス ディスプレイ、デバイス検出、タスク切り替え、SIM カード エラー メッセージなどの機能を制御する新しい Windows デバイス制限設定が追加されました。

証明書構成へのUpdates

SCEP 証明書プロファイルを作成する場合、 サブジェクト名形式の場合は、iOS、Android、および Windows デバイスで [カスタム] オプションを使用できます。 この更新プログラムの前に、[ ユーザー設定 ] フィールドは iOS デバイスでのみ使用できるようになりました。 詳細については、「SCEP 証明書プロファイルのCreate」を参照してください。

PKCS 証明書プロファイルを作成する場合、サブジェクトの別名の場合は、カスタム Microsoft Entra属性を使用できます。 [部門] オプションは、[カスタム Microsoft Entra属性] を選択するときに使用できます。 詳細については、「 PKCS 証明書プロファイルを作成する」を参照してください。

Android デバイスがキオスク モードのときに実行できる複数のアプリを構成する

Android デバイスがキオスク モードの場合、以前は実行を許可されたアプリを 1 つだけ構成できました。 アプリ ID、ストア URL、または既に管理している Android アプリを選択して、複数のアプリを構成できるようになりました。 詳細については、「 キオスク モードの設定」を参照してください。

2017 年 4 月

Apple Classroom アプリの管理のサポート

iPad デバイスで iOS Classroom アプリを管理できるようになりました。 教師の iPad で正しいクラスと学生のデータを使用して Classroom アプリを設定し、クラスに登録されている学生の iPad を構成して、アプリを使用してそれらを制御できるようにします。 詳細については、「 iOS 教育設定を構成する」を参照してください。

Android アプリのマネージド構成オプションのサポート

Intuune は、マネージド構成オプションをサポートする Play ストアで Android アプリを構成できるようになりました。 この機能により、IT 担当者はアプリでサポートされている構成値の一覧を表示でき、ガイド付きのファーストクラスの UI を提供して、それらの値を構成できます。

複雑な PIN の新しい Android ポリシー

Android 5.0 以降を実行するデバイスの Android デバイス プロファイルで、必要な パスワード の種類の Numeric complex を設定できるようになりました。 この設定を使用して、デバイス ユーザーが、繰り返し番号や連続する数値 (1111、1234 など) を含む PIN を作成できないようにします。

Android for Work デバイスのサポート

• パスワードと仕事用プロファイルの設定を管理する

  この新しい Android for Work デバイス制限ポリシーを使用すると、管理する Android for Work デバイスでパスワードと仕事用プロファイルの設定を管理できるようになりました。

• 仕事用プロファイルと個人用プロファイル間のデータ共有を許可する

この Android for Work デバイス制限プロファイルに、仕事用プロファイルと個人用プロファイル間のデータ共有を構成するのに役立つ新しいオプションが追加されました。

• 仕事用プロファイルと個人用プロファイル間のコピーと貼り付けを制限する

  Android for Work デバイス用の新しいカスタム デバイス プロファイルを使用すると、仕事用アプリと個人用アプリの間でアクションのコピーと貼り付けを許可するかどうかを制限できるようになりました。

詳細については、「 Android for Work のデバイス制限」を参照してください。

iOS および Android デバイスに LOB アプリを割り当てる

iOS (.ipa ファイル) と Android (.apk ファイル) 用の基幹業務 (LOB) アプリをユーザーまたはデバイスに割り当てることができるようになりました。

iOS 用の新しいデバイス ポリシー

• ホーム画面のアプリ - iOS デバイスのホーム画面に表示されるアプリを制御します。 このポリシーは、ホーム画面のレイアウトを変更しますが、アプリは展開しません。

• AirPrint デバイスへのConnections - iOS デバイスのエンド ユーザーが接続できる AirPrint デバイス (ネットワーク プリンター) を制御します。

• AirPlay デバイスへのConnections - iOS デバイスのエンド ユーザーが接続できる AirPlay デバイス (Apple TV など) を制御します。

• カスタム ロック画面メッセージ - 既定のロック画面メッセージを置き換える、iOS デバイスのロック画面に表示されるカスタム メッセージを構成します。 詳細については、「iOS デバイスで紛失モードをアクティブ化する」を参照してください。

iOS アプリのプッシュ通知を制限する

Intune デバイス制限プロファイルで、iOS デバイスに対して次の通知設定を構成できるようになりました。

• 指定したアプリの通知を完全にオンまたはオフにします。
• 指定したアプリの通知センターで通知をオンまたはオフにします。
• アラートの種類として[ なし]、[ バナー]、[ モーダル アラート] のいずれかを指定します。
• このアプリでバッジを許可するかどうかを指定します。
• 通知音を許可するかどうかを指定します。

単一アプリ モードで自律的に実行するように iOS アプリを構成する

Intune デバイス プロファイルを使用して、指定したアプリを自律シングル アプリ モードで実行するように iOS デバイスを構成できるようになりました。 このモードが構成され、アプリが実行されると、デバイスはロックされます。 そのアプリのみを実行できます。 たとえば、ユーザーがデバイスでテストを行えるアプリを構成する場合です。 アプリのアクションが完了するか、このポリシーを削除すると、デバイスは通常の状態に戻ります。

iOS デバイスで電子メールと Web 閲覧用の信頼されたドメインを構成する

iOS デバイス制限プロファイルから、次の ドメイン設定を構成できるようになりました。

• マークされていないメール ドメイン - ここで指定したドメインと一致しないユーザーが送受信するメールは、信頼されていないとしてマークされます。

• マネージド Web ドメイン - ここで指定した URL からダウンロードされたドキュメントは、管理対象と見なされます (Safari のみ)。

• Safari パスワードの自動入力ドメイン - ユーザーは、ここで指定したパターンに一致する URL からのみ、Safari にパスワードを保存できます。 この設定を使用するには、デバイスが監視モードで、複数のユーザーに対して構成されていない必要があります。 (iOS 9.3 以降)

iOS ポータル サイトで利用可能な VPP アプリ

iOS ボリューム購入 (VPP) アプリをエンド ユーザーに 使用可能な インストールとして割り当てることができるようになりました。 エンド ユーザーは、アプリをインストールするために Apple Store アカウントが必要です。

Apple VPP ストアから電子ブックを同期する

Apple ボリューム購入プログラム ストアから購入した書籍をIntuneと同期し、その書籍をユーザーに割り当てることができるようになりました。

Samsung Knox Standard デバイスのマルチユーザー管理

Samsung Knox Standard を実行するデバイスは、Intuneによるマルチユーザー管理でサポートされるようになりました。 そのため、エンド ユーザーは、Microsoft Entra資格情報を使用してデバイスにサインインおよびサインアウトできます。 デバイスは、使用中かどうかに関係なく、一元的に管理されます。 エンド ユーザーがサインインすると、アプリにアクセスでき、ポリシーが適用されます。 ユーザーがサインアウトすると、すべてのアプリ データがクリアされます。

Windows デバイスの制限設定

Microsoft Edge ブラウザーのサポート、デバイス ロック画面のカスタマイズ、スタート メニューのカスタマイズ、Windows スポットライト検索セットの壁紙、プロキシ設定など、より多くの Windows デバイス制限設定のサポートが追加されました。

Windows 10 Creators Updateのマルチユーザー サポート

Windows 10 Creators Updateを実行し、ドメインに参加しているデバイスのマルチユーザー管理のサポートMicrosoft Entra追加されました。 別の標準ユーザーがMicrosoft Entra資格情報を使用してデバイスにサインインすると、ユーザー名に割り当てられたアプリとポリシーが受信されます。 ユーザーは現在、アプリのインストールなどのセルフサービス シナリオにポータル サイトを使用できません。

Windows 10 PC の新しいスタート

Windows 10 PC 用の新しい新しいスタート デバイス アクションが利用可能になりました。 このアクションを発行すると、PC にインストールされたすべてのアプリが削除されます。 PC は、最新バージョンの Windows に自動的に更新されます。 自動的に更新されると、新しい PC で配信されることが多いプレインストール済み OEM アプリを削除するのに役立ちます。 このデバイス アクションの発行時にユーザー データを保持するかどうかを構成できます。

アップグレード パスのWindows 10

次のWindows 10 エディションにデバイスをアップグレードするためのエディション アップグレード ポリシーを作成できるようになりました。

• Windows 10 Professional
• Windows 10 Professional N
• Windows 10専門教育
• Windows 10専門教育N

デバイスの一括登録Windows 10

Windows 10 Creators 更新プログラムを実行する多数のデバイスを、Windows Configuration Designer (WCD) でMicrosoft Entra IDおよびIntuneに参加できるようになりました。 Microsoft Entra テナントの一括 MDM 登録を有効にするには、プロビジョニング パッケージを作成します。 パッケージは、Windows Configuration Designerを使用してデバイスをMicrosoft Entra テナントに参加させ、一括登録および管理する企業所有のデバイスにパッケージを適用する必要があります。 パッケージがデバイスに適用されると、Microsoft Entra IDに参加し、Intuneに登録し、Microsoft Entra ユーザーがサインインする準備が整います。 Microsoft Entraユーザーはこれらのデバイスの標準ユーザーであり、割り当てられたポリシーと必要なアプリを受け取ります。 セルフサービスシナリオとポータル サイトシナリオは現在サポートされていません。

PIN とマネージド ストレージの場所の新しい MAM 設定

モバイル アプリケーション管理 (MAM) シナリオに役立つ 2 つの新しいアプリ設定を使用できるようになりました。

• デバイス PIN の管理時にアプリ PIN を無効にする - 登録されているデバイスにデバイス PIN が存在するかどうかを検出し、存在する場合は、アプリ保護ポリシーによってトリガーされるアプリ PIN をバイパスします。 この設定を使用すると、登録されているデバイスで MAM 対応アプリケーションを開くユーザーに PIN プロンプトが表示される回数を減らすことができます。 この機能は、Android と iOS の両方で使用できます。

• [企業データを保存できるストレージ サービス] を選択します。企業データを保存するストレージの場所を指定できます。 ユーザーは、選択したストレージロケーションサービスに保存できます。つまり、一覧に記載されていない他のすべてのストレージロケーションサービスはブロックされます。

  サポートされているストレージロケーションサービスの一覧:

  • OneDrive
  • Business SharePoint Online
  • ローカル ストレージ

ヘルプ デスクのトラブルシューティング ポータル

新しいトラブルシューティング ポータルを使用すると、ヘルプ デスクオペレーターとIntune管理者がユーザーとそのデバイスを表示し、技術的な問題Intune解決するためのタスクを実行できます。

2017 年 3 月

iOS の紛失モードのサポート

iOS 9.3 以降のデバイスでは、失われたモードのサポートIntune追加されました。 デバイスをロックダウンして、すべての使用を防ぎ、デバイスロック画面のメッセージと連絡先電話番号を表示できるようになりました。

エンド ユーザーは、管理者が紛失モードを無効にするまで、デバイスのロックを解除できません。 [紛失モード] が有効になっている場合は、[デバイスの検索] アクションを使用して、Intune コンソールのマップにデバイスの地理的な場所を表示できます。

デバイスは企業所有の iOS デバイスであり、監視モードの DEP を介して登録されている必要があります。

詳細については、「Microsoft Intuneデバイス管理とは」を参照してください。

デバイス アクション レポートの機能強化

パフォーマンスを向上させる Device Actions レポートが改善されました。 また、レポートを状態でフィルター処理できるようになりました。 たとえば、レポートをフィルター処理して、完了したデバイス アクションのみを表示できます。

カスタム アプリ カテゴリ

Intuneに追加するアプリのカテゴリを作成、編集、割り当てることができるようになりました。 現時点では、カテゴリは英語でのみ指定できます。 「アプリをIntuneに追加する方法」を参照してください。

登録解除されたデバイスを持つユーザーに LOB アプリを割り当てる

デバイスがIntuneに登録されているかどうかに関係なく、ストアから基幹業務アプリをユーザーに割り当てることができるようになりました。 ユーザーのデバイスがIntuneに登録されていない場合は、ポータル サイト アプリではなく、ポータル サイト Web サイトに移動してインストールする必要があります。

新しいコンプライアンス レポート

これで、社内のデバイスのコンプライアンス体制を提供し、ユーザーが発生したコンプライアンス関連の問題をすばやくトラブルシューティングできるコンプライアンス レポートが作成されました。 に関する情報を表示できます。

• デバイスの全体的なコンプライアンス状態
• 個々の設定のコンプライアンス状態
• 個々のポリシーのコンプライアンス状態

これらのレポートを使用して個々のデバイスにドリルダウンして、そのデバイスに影響を与える特定の設定とポリシーを表示することもできます。

Apple 登録シナリオへの直接アクセス

2017 年 1 月以降に作成されたIntune アカウントの場合、Intuneでは、Azure portalの [デバイスの登録] ワークロードを使用して Apple 登録シナリオに直接アクセスできるようになりました。 以前は、Apple 登録プレビューにアクセスできるのは、Azure portal内のリンクからのみでした。 2017 年 1 月より前に作成されたIntuneアカウントでは、これらの機能を Azure で使用できるようになる前に 1 回限りの移行が必要になります。 移行のスケジュールはまだ発表されていませんが、詳細はできるだけ早く利用可能になります。 既存のアカウントがプレビューにアクセスできない場合は、新しいエクスペリエンスをテストするために試用版アカウントを作成することを強くお勧めします。

2017 年 2 月

モバイル デバイスの登録を制限する機能

Intuneでは、モバイル デバイス プラットフォームを制御する新しい登録制限が追加され、登録が許可されます。 Intuneは、モバイル デバイス プラットフォームを iOS、macOS、Android、Windows、Windows Mobile として分離します。

• モバイル デバイスの登録を制限しても、PC クライアントの登録は制限されません。
• iOS と Android の場合のみ、個人所有デバイスの登録をブロックする別のオプションがあります。

Intuneは、この記事で説明されているように、IT 管理者が企業所有としてマークするアクションを実行しない限り、すべての新しいデバイスを個人用としてマークします。

マネージド デバイスのすべてのアクションを表示する

新しい デバイス アクション レポートには、デバイスでファクトリ リセットなどのリモート アクションを実行したユーザーが表示され、そのアクションの状態が表示されます。 「 デバイス管理とは」を参照してください。

管理されていないデバイスは、割り当てられたアプリにアクセスできます

ポータル サイト Web サイトの設計変更の一環として、iOS ユーザーと Android ユーザーは、非管理対象デバイスに "登録なしで使用可能" として割り当てられたアプリをインストールできます。 ユーザーは、Intune資格情報を使用して、ポータル サイト Web サイトにサインインし、割り当てられているアプリの一覧を表示できます。 "登録なしで利用可能" アプリのアプリ パッケージは、ポータル サイト Web サイトからダウンロードできるようになります。 インストールに登録が必要なアプリは、ユーザーがそれらのアプリをインストールする場合にデバイスを登録するように求められるため、この変更の影響を受けません。

カスタム アプリ カテゴリ

Intuneに追加するアプリのカテゴリを作成、編集、割り当てることができるようになりました。 現時点では、カテゴリは英語でのみ指定できます。 「アプリをIntuneに追加する方法」を参照してください。

デバイス カテゴリを表示する

デバイス の一覧でデバイス カテゴリを列として表示できるようになりました。 また、デバイスのプロパティ ブレードの [プロパティ] セクションからカテゴリを編集することもできます。 「アプリをIntuneに追加する方法」を参照してください。

ビジネス設定のWindows Updateを構成する

サービスとしての Windows は、Windows 10の更新プログラムを提供する新しい方法です。 Windows 10以降、新しい機能Updatesと品質Updatesには、以前のすべての更新プログラムの内容が含まれます。 最新の更新プログラムをインストールしている限り、Windows 10デバイスが最新の状態であることがわかります。 以前のバージョンの Windows とは異なり、更新プログラムの一部ではなく全体をインストールすることが必要になります。

Windows Update for Business を使用すると、更新管理エクスペリエンスを簡略化して、デバイスのグループの個々の更新プログラムを承認する必要がないようにすることができます。 更新プログラムのロールアウト戦略を構成することで、環境のリスクを引き続き管理できます。Windows Updateは、更新プログラムが適切なタイミングでインストールされていることを確認します。 Microsoft Intuneデバイスで更新設定を構成でき、更新プログラムのインストールを延期できます。 Intuneでは、更新プログラムは格納されませんが、更新ポリシーの割り当てのみが格納されます。 デバイスは、更新プログラムWindows Update直接アクセスします。Intuneを使用して、更新リングWindows 10構成および管理します。 更新リングには、更新プログラムをインストールするタイミングと方法を構成Windows 10設定のグループが含まれています。 詳細については、「ビジネス設定のWindows Updateを構成する」を参照してください。