Microsoft Intune は 安全に ID を管理し、アプリを管理し、デバイスを管理します。

  • [アーティクル]

組織がハイブリッド従業員 および リモート従業員をサポートするようになるつれて、組織のリソースにアクセスするさまざまなデバイスを管理する必要性が増しています。 従業員や学生は、共同作業を行い、どこからでも作業し、これらのリソースに安全にアクセスして接続できる必要があります。 管理者は、組織のデータを保護し、エンド ユーザー アクセスを管理し、どこにいてもユーザーをサポートする必要があります。

✅ これらの課題とタスクを解決するには、Microsoft Intune を使用してください。

Microsoft Intune は、クラウドベースのエンドポイント管理ソリューションです。 組織のリソースへのユーザーのアクセスを管理し、モバイル デバイス、デスクトップ コンピューター、仮想エンドポイントなど、多くのデバイスでアプリとデバイスの管理を簡素化します。

Microsoft Intune の特徴と利点を示す図。

組織が所有するデバイスとユーザーの個人デバイスのアクセスとデータを保護できます。 また、Intune には、ゼロ トラスト セキュリティ モデルをサポートするコンプライアンスおよびレポート機能があります。

この記事では、Microsoft Intune のいくつかの機能と利点を示します。

ヒント

主な機能と利点

Intune の主な機能と利点には、次のようなものがあります:

ユーザーとデバイスを管理する

Intune を使用すると、組織が所有するデバイスとエンド ユーザーが所有するデバイスを管理できます。 Microsoft Intune は、Android、Android オープン ソース プロジェクト (AOSP)、iOS/iPadOS、Linux Utuntu Desktop、macOS、および Windows クライアント デバイスをサポートしています。 Intune では、これらのデバイスから、作成したポリシーを使用して組織のリソースに安全にアクセスできます。

詳細については、次を参照してください:

注:

オンプレミスの Windows Server を管理している場合は、構成マネージャーを使用できます。

アプリ管理の簡略化

Intune には、アプリの展開、更新、削除など、組み込みのアプリ エクスペリエンスがあります。 次の操作を行うことができます:

  • プライベート アプリ ストアに接続してアプリを配布できます。
  • Microsoft Teams など、Microsoft 365 アプリを有効にできます。
  • Win32 アプリと基幹業務 (LOB) アプリを展開できます。
  • アプリ内のデータを保護するアプリ保護ポリシーを作成できます。
  • アプリとそのデータへのアクセスを管理できます。

詳細については、「Microsoft Intune を使用したアプリの管理」を参照してください。

ポリシーの展開を自動化する

アプリ、セキュリティ、デバイス構成、コンプライアンス、条件付きアクセスなどのポリシーを作成できます。 ポリシーの準備ができたら、これらのポリシーをユーザー グループやデバイス グループに展開できます。 これらのポリシーを受け取るには、デバイスにインターネット アクセスのみが必要です。

詳細については、「Microsoft Intune でポリシーを割り当てる」を参照してください。

セルフサービス機能を使用する

従業員や学生は、ポータル サイト アプリや Web サイトを使用して、PIN/パスワードのリセット、アプリのインストール、グループへの参加などを行うことができます。 ポータル サイトをカスタマイズして、サポートの呼び出しを減らすことができます。

詳細情報については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、および Intune アプリを構成する」を参照してください。

モバイル脅威防御との統合

Intune は、Microsoft Defender for Endpoint およびサード パーティのパートナー サービスと統合できます。 これらのサービスでは、エンドポイントのセキュリティに重点が置かれています。 脅威に対応するポリシーを作成し、リアルタイムのリスク分析を実行し、修復を自動化できます。

詳細については、「Intune でのモバイル脅威防御の統合」を参照してください。

Web ベースの管理センターを使用する

Intune 管理センターでは、データ ドリブン レポートを含むエンドポイント管理に重点が置かれています。 管理者は、インターネットにアクセスできる任意のデバイスから管理センターにサインインできます。

詳細については、「Intune 管理センターのチュートリアル」を参照してください。 管理センターにサインインするには、「Microsoft Intune 管理センター」に移動します。

この管理センターでは、 Microsoft Graph REST API を使用して、Intune サービスにプログラムでアクセスします。 管理センターのすべてのアクションは、Microsoft Graph 呼び出しです。 Graph に慣れていない場合は、「Graph と Microsoft Intune の統合」に関するページを参照してください。

高度なエンドポイント管理とセキュリティ

Microsoft Intune Suite には、リモート ヘルプ、エンドポイント特権管理、Microsoft Tunnel for MAM、などのさまざまな機能が用意されています。

詳細については、「Intune Suite のアドオン機能」を参照してください。

ヒント

Microsoft Intune を使用して、最新のエンドポイント管理の恩恵を受ける方法を学習するためのトレーニング モジュールについて説明します。

Intune で Microsoft Copilot を使用して AI によって生成された分析を得る

Copilot for Security を利用した機能を備えている Intune の Copilot を利用できます。

Copilot は既存のポリシーを要約し、推奨値や潜在的な競合など、より多くの設定情報を提供できます。 デバイスの詳細を取得し、デバイスをトラブルシューティングすることもできます。

詳細については、「Intune の Microsoft Copilot」を参照してください。

他の Microsoft サービスやアプリとの統合

Microsoft Intune は、エンドポイント管理に重点を置く他の Microsoft 製品やサービスと統合できます。これには、次が含まれます:

  • ソフトウェア更新プログラムの展開やデータ センターの管理など、オンプレミスのエンドポイント管理と Windows Server のための構成マネージャー

    共同管理シナリオで Intune と構成マネージャーを一緒に使用するか、テナントのアタッチを使用するか、またはその両方を使用できます。 これらのオプションを使用すると、Web ベースの管理センターの利点を利用でき、Intune で利用できる他のクラウドベースの機能も使用できます。

    より具体的な情報については、以下を参照してください:

  • 最新の OS のデプロイとプロビジョニングのための Windows Autopilot

    Windows Autopilot を使用すると、新しいデバイスをプロビジョニングし、これらのデバイスを OEM またはデバイス プロバイダーからユーザーに直接送信できます。 既存のデバイスの場合は、これらのデバイスを再イメージ化して Windows Autopilot を使用し、最新の Windows バージョンを展開できます。

    より具体的な情報については、以下を参照してください:

  • デバイスのパフォーマンスと信頼性を含むエンド ユーザー エクスペリエンスの可視性とレポートのためのエンドポイント分析

    エンドポイント分析を使用すると、デバイスの速度を低下させるポリシーやハードウェアの問題を特定できます。 また、エンド ユーザー エクスペリエンスを積極的に向上させ、ヘルプ デスク チケットを減らすのに役立つガイダンスも提供します。

    より具体的な情報については、以下を参照してください:

  • Outlook、Teams、Sharepoint、OneDrive などを含むエンド ユーザー生産性 Office アプリである Microsoft 365

    Intune を使用すると、組織内のユーザーとデバイスにMicrosoft 365 アプリを展開できます。 ユーザーが初めてサインインするときに、これらのアプリを展開することもできます。

    より具体的な情報については、以下を参照してください:

  • 企業による脅威の防止、検出、調査、対応を支援する Microsoft Defender for Endpoint

    Intune では、Intune と Microsoft Defender for Endpoint の間にサービス間接続を確立できます。 これらが接続されると、ファイルをスキャンし、脅威を検出し、脅威レベルを Microsoft Defender for Endpoint に報告するポリシーを作成できます。 また、リスクの許容レベルを設定するコンプライアンス ポリシーを作成することもできます。 条件付きアクセスと組み合わせると、準拠していないデバイスの組織リソースへのアクセスをブロックできます。

    より具体的な情報については、以下を参照してください:

  • Windows、Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teams の自動修正プログラムのための Windows Autopatch

    Windows Autopatch はクラウドベースのサービスです。 ソフトウェアを最新の状態に保ち、最新の生産性ツールをユーザーに提供し、オンプレミスのインフラストラクチャを最小限に抑え、IT 管理者が他のプロジェクトに集中できるように支援します。 Windows Autopatch は、Microsoft Intune を使用して、共同管理 (Intune + 構成マネージャー) を使用して、Intune に登録されているデバイスまたはデバイスの修正プログラムの適用を管理します。

    より具体的な情報については、以下を参照してください:

サード パーティのパートナー デバイスとアプリとの統合

Intune 管理センターを使用すると、次のようなさまざまなパートナー サービスに簡単に接続できます:

これらのサービスでは、Intune は:

  • 管理者がサード パーティのパートナー アプリ サービスに簡単にアクセスできるようにします。
  • 数百のサード パーティ パートナー アプリを管理できるようにします。
  • パブリック小売店アプリ、基幹業務 (LOB) アプリ、パブリック ストアで利用できないプライベート アプリ、カスタム アプリなどをサポートします。

サード パーティのパートナー デバイスを Intune に登録するためのプラットフォーム固有の要件については、次のページを参照してください:

デバイス管理、アプリケーション管理、またはその両方に登録する

✅ 組織所有のデバイスは、モバイル デバイス管理 (MDM) 用に Intune に登録されます。 MDM はデバイス中心であるため、デバイス機能は必要としているユーザーに基づいて構成されます。 たとえば、サインインしているユーザーが組織アカウントである場合のみ Wi-Fi へのアクセスを許可するようにデバイスを構成できます。

Intune では、機能と設定を構成し、セキュリティと保護を提供するポリシーを作成できます。 管理者チームは、サインインするユーザー ID、インストールされているアプリ、アクセスされるデータなど、デバイスを完全に管理できます。

デバイスが登録されると、登録プロセス中にポリシーを展開できます。 登録が完了すると、デバイスを使用する準備が整います。

✅ デバイス持ち込み (BYOD) シナリオの個人用デバイスの場合は、Intune を モバイル アプリケーション管理 (MAM)に使用できます。 MAM はユーザー中心であるため、アプリ データは、このデータへのアクセスに使用されるデバイスに関係なく保護されます。 アプリへの安全なアクセスやアプリ内のデータの保護など、アプリに重点が置かれています。

MAM を使用すると、次のことができます:

  • モバイル アプリをユーザーに公開できます。
  • アプリを構成し、アプリを自動的に更新できます。
  • アプリ インベントリとアプリの使用状況に焦点を当てたデータ レポートを表示できます。

✅ MDM と MAM を一緒に使用することもできます。 デバイスが登録されていて、追加のセキュリティを必要とするアプリがある場合は、MAM アプリ保護ポリシーを使用することもできます。

詳細については、次を参照してください:

任意のデバイス上のデータを保護する

Intune を使用すると、(Intune に登録済みの) マネージド デバイス上のデータの保護し、(Intune に登録されていない) 非管理対象デバイスのデータを保護できます。 Intune は、組織データを個人データから分離できます。 これは、ご自身で構成して展開するポリシーを使用して会社の情報を保護するという考え方です。

組織所有のデバイスの場合は、デバイス (特にセキュリティ) を完全に制御する必要があります。 デバイスが登録されると、ユーザーはセキュリティ規則と設定を受け取ります。

Intune に登録されているデバイスでは、次のことができます:

  • セキュリティ設定の構成、パスワード要件の設定、証明書の展開などを行うポリシーを作成して展開できます。
  • モバイル脅威防御サービスを使用して、デバイスのスキャン、脅威の検出、脅威の修復を行えます。
  • セキュリティ設定とルールへの準拠を測定するデータとレポートを表示できます。
  • 条件付きアクセスを使用して、組織のリソース、アプリ、データへのアクセスを、管理された準拠デバイスのみに許可できます。
  • デバイスが紛失または盗難にあった場合は、組織データを削除できます。

個人用デバイスの場合、ユーザーは IT 管理者に完全なコントロールを許可したくない場合があります。 ハイブリッド作業環境をサポートするには、ユーザーに選択肢を与えてください。 たとえば、組織のリソースにフル アクセスする場合は、ユーザーが自分のデバイスを登録します。 または、これらのユーザーが Outlook や Microsoft Teams にのみアクセスできるようにする場合は、多要素認証 (MFA) を必要とするアプリ保護ポリシーを使用します。

アプリケーション管理を使用するデバイスでは、次のことができます:

  • モバイル脅威防御サービスを使用してアプリ データを保護できます。 このサービスでは、デバイスのスキャン、脅威の検出、リスクの評価を行うことができます。
  • 組織データが個人用アプリにコピーおよび貼り付けされないようにします。
  • サード パーティまたはパートナー MDM に登録されているアプリおよび管理されていないデバイスで、アプリ保護ポリシーを使用できます。
  • 条件付きアクセスを使用して、組織のメールとファイルにアクセスできるアプリを制限します。
  • アプリ内の組織データを削除できます。

詳細については、次を参照してください:

アクセスを簡略化する

Intune は、組織がどこからでも作業できる従業員をサポートするのに役立ちます。 ユーザーがどこにいても組織に接続できるように構成できる機能があります。

このセクションには、Intune で構成できる一般的な機能がいくつか含まれています。

パスワードの代わりに Windows Hello for Business を使用する

Windows Hello for Business は、フィッシング攻撃やその他のセキュリティ上の脅威から保護するのに役立ちます。 また、ユーザーがデバイスやアプリにすばやく簡単にサインインするのにも役立ちます。

Windows Hello for Business は、パスワードを PIN や指紋認証や顔認証などの生体認証に置き換えます。 この生体認証情報はデバイス上にローカルに保存され、外部のデバイスやサーバーには送信されません。

詳細については、次を参照してください:

リモート ユーザー用の VPN 接続を作成する

VPN ポリシーを使用すると、ユーザーは組織のネットワークに安全にリモート アクセスできます。

Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure などの一般的な VPN 接続パートナーを使用すると、ネットワーク設定で VPN ポリシーを作成できます。 ポリシーの準備ができたら、ネットワークにリモート接続する必要があるユーザーとデバイスにこのポリシーを展開します。

VPN ポリシーでは、証明書を使用して VPN 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

詳細については、次を参照してください:

オンプレミス ユーザー用の Wi-Fi 接続を作成する

オンプレミスで組織ネットワークに接続する必要があるユーザーに対して、ネットワーク設定で Wi-Fi ポリシーを作成できます。 特定の SSID に接続したり、認証方法を選択したり、プロキシを使用したりできます。 デバイスが範囲内にあるときに Wi-Fi に自動的に接続するようにポリシーを構成することもできます。

Wi-Fi ポリシーでは、証明書を使用して Wi-Fi 接続を認証できます。 証明書を使用する場合、エンド ユーザーはユーザー名とパスワードを入力する必要はありません。

ポリシーの準備ができたら、オンプレミス ネットワークに接続する必要があるオンプレミスのユーザーとデバイスにこのポリシーを展開します。

詳細については、次を参照してください:

アプリとサービスへのシングル サインオン (SSO) を有効にする

SSO を有効にすると、ユーザーは Microsoft Entra 組織アカウント (一部のモバイル脅威防御パートナー アプリを含む) を使用してアプリとサービスに自動的にサインインできます。

特に次のような場合です。