はじめに
働き方が多様化し、テレワークや外出先での業務が一般的になる中、企業が従業員のパソコンやスマートフォンを安全かつ効率的に管理する体制が求められています。そこで注目されているのが、Microsoftが提供するクラウドベースの管理サービス「Microsoft Intune」です。
Intuneは、MDM(モバイルデバイス管理)とMAM(モバイルアプリケーション管理)の両機能を備え、社内外のノートPCやスマートフォンなどを一元管理します。セキュリティ設定の適用、アプリ配布、デバイスの紛失時のリモートワイプなどに対応し、柔軟な働き方を支えながら、セキュアな運用を実現します。
Intuneの主要機能
MDM(Mobile Device Management:モバイルデバイス管理)
MDMは、PCやスマートフォン、タブレットなどのデバイス全体を管理する仕組みです。Intuneを使うことで、テレワークやBYODを含む様々な働き方に対応しながら、セキュリティポリシーの適用や設定配布、リモート操作を一元的に実施できます。
この仕組みにより、企業はデバイスのセキュリティ対策を強化し、運用管理を効率化を図ることが可能です。
| 機能 | 概要 |
| デバイスの登録・管理 | 企業が所有するデバイスまたは、BYODを登録し、一元的に管理・監視できます。 |
| 設定プロファイルの配布 | Wi-FiやVPN、メールアカウントなどの構成プロファイルを複数のデバイスに一括配布し、セットアップ工数を削減します。 |
| 更新プログラムの管理 | Windows Updateのステータス確認や配布タイミングの制御が可能です。更新が未適用のデバイスに対しては、アクセス制限を適用可能です。 |
| セキュリティポリシーの適用 | デバイスが定義されたコンプライアンスにポリシーに準拠しているかを自動でチェックし、非準拠の場合は、アラート通知や利用制限が適用可能。 |
MAM(Mobile Application Management:モバイルアプリケーション管理)
MAMは、個々のアプリケーションに対して制御を行う仕組みで、特にBYOD環境に適しています。個人の端末を管理対象にせず、業務アプリだけにポリシーを適用できるため、プライバシーを守りつつ業務データの安全を確保できます。
| 機能 | 概要 |
| アプリの配布・更新・リモート削除 | 業務に必要なアプリを、対象ユーザーまたはグループんのデバイスに対して、一括で設定の配布・更新・リモート削除が可能です。 |
| アプリ単位のセキュリティ制御 | アプリに対して、データの暗号化やアプリ起動時の認証の必須化、コピー&ペーストの制限などを適用できます。 |
| 業務データと個人データの分離 | BYOD環境でも、業務アプリ内のデータと個人利用アプリのデータを完全に分離して管理することができる。 |
外部サービスとの連携
Intuneは、Microsoft 365の各種サービスと連携し、ID管理・脅威対策。情報保護などを包括的に支援します。
| サービス名 | 役割 | 概要 |
| Microsoft Entra ID | 認証・アクセス制御 安全な認証と柔軟なアクセス管理を実現 | ・多要素認証やシングルサインオン による安シームレスなログイン ・条件付きアクセスによる制御ポリシーを適用 |
| Microsoft Defender for Endpoint | 脅威対策 エンドポイントの脅威を検出し、対応を自動化 | ・リアルタイムの脅威検出と対応 ・リスクに基づくアプリアクセス制御 |
Intuneへデバイスを登録
Windows OS のデバイスは、Microsoft Intuneで自動登録を有効にすることで、Microsoft Entra IDに自動的に登録できるようになります。
この機能を利用するには、以下の条件が必要です
- Microsoft Entra ID P1ライセンスが付与されていること
- 自動登録の設定が有効になっていること
自動登録設定手順
1.Intune管理センターの左メニューから[デバイス]→[登録]→[自動登録]を選択します。
2.[MDMユーザースコープ]を選択に設定し、[保存]をクリックします。
ユーザースコープには、次の選択肢があります。
- なし:すべてのユーザーが対象ではありません。
- 一部:対象にするグループを指定できます。Azure ADで規定のMicrosoft Entra資格情報グループポリシーを使用する必要があります。
- すべて:すべてのユーザーが対象になります。
デバイス管理の中核
Intuneの[構成プロファイル]と[コンプライアンス ポリシー]を利用することで、組織のセキュリティや運用ルールに沿ったデバイス設定を行うことができ、デバイスのセキュリティ状態が運用ルールにそぐわない内容になっていないかをチェックできます。
構成プロファイルの利用
構成プロファイルは、Intune登録済みデバイスにインターネットから設定を展開する機能です。
・設定がデバイスに反映するまでに、約8時間かかります。(デバイスがインターネットにい接続されている前提)
・設定可能な項目は、デバイスのOSやバージョンにより異なる。
・OSの全ての設定項目が管理できるわけではない。
・構成プロファイルは、ADのGPOとは別の機能である。
コンプライアンスポリシーの利用
コンプライアンス ポリシーは、組織で定められているコンプライアンスやセキュリティのルールを満たしているか(準拠)、満たしていないか(非準拠)のチェックを行う機能です。
チェック可能な項目がOSやバージョンによって異なります。チェックの周期は約8時間です。
デバイスの準拠、非準拠はMicrosoft Entra管理センターのデバイス画面でも確認することができます。
[デバイス]-[すべてのデバイス]
コンプライアンスポリシーを対象ユーザーに割り当てることで、Microsoft Entra IDの「条件付きアクセス」としてアクセス制御を行います。
| 利用結果 | 利用結果に対するアクション |
| 準拠のデバイス | 通常通りアクセス可能 |
| 非準拠のデバイス | 使用できるアクション ・コンプライアンス違反マークを付与 ・エンドユーザーにメール/プッシュ通知を送信 ・リモートでデバイスをブロックする ・非準拠デバイス一覧に追加 |
まとめ
Intuneは、クラウドベースで企業の様々なデバイスを一元管理することができます。セキュリティポリシーの適用やアプリの配布、リモートワイプなどの活用し、柔軟なIT運用が可能となります。
