Microsoft Intune の新機能

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

• 重要な通知
• 新 着情報アーカイブの過去のリリース
• Intune サービスの更新プログラムのリリース方法に関する情報

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2024 年 8 月 19 日の週 (サービス リリース 2408)

Microsoft Intune Suite

サポート承認要求とレポートからエンドポイント特権管理昇格ルールを簡単に作成

エンドポイント特権管理 (EPM) 昇格規則は、サポートされている承認された昇格要求から直接作成することも、EPM 昇格レポートにある詳細から作成することもできます。 この新機能により、昇格ルールの特定のファイル検出の詳細を手動で識別する必要はありません。 代わりに、昇格レポートまたはサポートされている昇格要求に表示されるファイルの場合は、そのファイルを選択してその昇格の詳細ウィンドウを開き、[ これらのファイルの詳細を含むルールを作成する] オプションを選択できます。

このオプションを使用する場合は、既存の昇格ポリシーのいずれかに新しいルールを追加するか、新しいルールのみを使用して新しいポリシーを作成するかを選択できます。

適用対象:

• Windows 10
• Windows 11

この新機能の詳細については、エンドポイント特権管理のポリシーの構成に関する記事の「Windows 昇格ルール ポリシー」を参照してください。

Advanced Analytics での物理デバイスのリソース パフォーマンス レポートの概要

Intune Advanced Analytics では、Windows 物理デバイスのリソース パフォーマンス レポートが導入されています。 レポートは、Microsoft Intune Suite の Intune アドオンとして含まれます。

物理デバイスのリソース パフォーマンス スコアと分析情報は、IT 管理者が CPU/RAM 資産管理を行い、ハードウェア コストのバランスを取りながらユーザー エクスペリエンスを向上させる購入の決定を行うのに役立ちます。

詳細については、以下を参照してください:

• リソース パフォーマンス レポート
• Microsoft Intune Suite

アプリ管理

Android Enterprise フル マネージド デバイスのマネージド ホーム画面

Android Enterprise フル マネージド デバイスでマネージド ホーム 画面 (MHS) がサポートされるようになりました。 この機能は、デバイスが 1 人のユーザーに関連付けられているシナリオで MHS を利用する機能を組織に提供します。

関連情報については、以下を参照してください:

• 「Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」
• Intune を使用して企業所有デバイスの機能を許可または制限する Android Enterprise デバイス設定の一覧
• Microsoft Intune を使用して Android Enterprise デバイス上のマネージド ホーム画面 (MHS) のアクセス許可を構成する

検出されたアプリ レポートの更新

検出 されたアプリ レポートは、テナントの Intune 登録済みデバイス上にある検出されたアプリの一覧を提供し、ストア アプリに加えて Win32 アプリの発行元データを提供するようになりました。 エクスポートされたレポート データにのみ発行元情報を提供するのではなく、[ 検出されたアプリ] レポートの列として含めます。

詳細については、「 Intune で検出されたアプリ」を参照してください。

Intune 管理拡張機能ログの機能強化

Win32 アプリと Intune 管理拡張機能 (IME) ログに対するログ アクティビティとイベントの作成方法が更新されました。 新しいログ ファイル (AppWorkload.log) には、IME によって実行されるアプリの展開アクティビティに関連するすべてのログ情報が含まれています。 これらの機能強化により、クライアント上のアプリ管理イベントのトラブルシューティングと分析が向上します。

詳細については、「 Intune 管理拡張機能ログ」を参照してください。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

Apple 設定カタログに新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) > Safari 拡張機能の設定:

• マネージド拡張機能
  • 許可されるドメイン
  • 拒否されたドメイン
  • プライベートブラウジング
  • 状態コード

宣言型デバイス管理 (DDM) > ソフトウェア更新プログラムの設定:

• 自動アクション

  • ダウンロード
  • OS の更新プログラムをインストールする

• 遅延

  • 結合された期間 (日数)

• 通知

• 迅速なセキュリティ対応

  • 有効にする
  • ロールバックを有効にする

• 推奨されるケイデンス

制限事項:

• ESIM 送信転送を許可する
• 個人用設定された手書きの結果を許可する
• ビデオ会議のリモート コントロールを許可する
• Genmoji を許可する
• イメージの遊び場を許可する
• イメージ Wand を許可する
• iPhone ミラーリングを許可する
• 書き込みツールを許可する

macOS

認証 > 拡張可能シングル サインオン (SSO):

• プラットフォーム SSO
  • 認証猶予期間
  • FileVault ポリシー
  • プラットフォーム以外の SSO アカウント
  • オフライン猶予期間
  • ロック解除ポリシー

認証 > 拡張可能なシングル サインオン Kerberos:

• パスワードの許可
• SmartCard を許可する
• ID 発行者の自動選択フィルター
• スマート カード モードで開始する

宣言型デバイス管理 (DDM) > ディスク管理:

• 外部ストレージ
• ネットワーク ストレージ

宣言型デバイス管理 (DDM) > Safari 拡張機能の設定:

• マネージド拡張機能
  • 許可されるドメイン
  • 拒否されたドメイン
  • プライベートブラウジング
  • 状態コード

宣言型デバイス管理 (DDM) > ソフトウェア更新プログラムの設定:

• 標準ユーザー OS の更新を許可する

• 自動アクション

  • ダウンロード
  • OS の更新プログラムをインストールする
  • セキュリティ更新プログラムをインストールする

• 遅延

  • メジャー期間 (日数)
  • 日数の短い期間
  • システム期間 (日数)

• 通知

• 迅速なセキュリティ対応

  • 有効にする
  • ロールバックを有効にする

制限事項:

• Genmoji を許可する
• イメージの遊び場を許可する
• iPhone ミラーリングを許可する
• 書き込みツールを許可する

システム ポリシー > システム ポリシー制御:

• XProtect マルウェアのアップロードを有効にする

複数の管理承認の機能強化

複数の管理承認により、アプリケーション アクセス ポリシーを Windows アプリケーション、または Windows 以外のすべてのアプリケーション、またはその両方に制限する機能が追加されます。 複数の管理承認に対する変更の承認を許可するために、複数の管理承認機能に新しいアクセス ポリシーを追加します。

詳細については、「 複数管理者の承認」を参照してください。

デバイスの登録

iOS/iPadOS 15 以降でアカウント駆動型 Apple ユーザー登録を一般公開

Intune では、iOS/iPadOS 15 以降を実行しているデバイスに対して、Apple ユーザー登録の新しいバージョンと改善されたバージョンである、アカウント駆動型の Apple ユーザー登録がサポートされるようになりました。 この新しい登録方法では、Just-In-Time 登録を利用し、登録要件として iOS 用ポータル サイト アプリを削除します。 デバイス ユーザーは、設定アプリで直接登録を開始できるため、オンボード エクスペリエンスが短く効率的になります。

詳細については、「Microsoft Learn で アカウント駆動型 Apple ユーザー登録を設定 する」を参照してください。

Apple は、プロファイルベースの Apple ユーザー登録のサポートを終了すると発表しました。 その結果、Microsoft Intune は、iOS/iPadOS 18 のリリース直後に、ポータル サイトでの Apple ユーザー登録のサポートを終了します。 同様の機能とユーザー エクスペリエンスの向上のために、アカウント駆動型の Apple ユーザー登録を使用してデバイスを登録することをお勧めします。

会社の Microsoft Entra アカウントを使用して Intune で Android Enterprise 管理オプションを有効にする

Android Enterprise 管理オプションを使用して Intune に登録されたデバイスを管理するには、エンタープライズ Gmail アカウントを使用して Intune テナントを管理対象の Google Play アカウントに接続する必要があります。 これで、会社の Microsoft Entra アカウントを使用して接続を確立できます。 この変更は新しいテナントで行われ、接続が既に確立されているテナントには影響しません。

詳細については、「 Intune アカウントをマネージド Google Play アカウントに接続する - Microsoft Intune |Microsoft Learn。

デバイス管理

21 Mobile Threat Defense コネクタの Vianet サポート

21Vianet が運営する Intune では、Android 用の Mobile Threat Defense (MTD) コネクタと、その環境でもサポートされている MTD ベンダー向けの iOS/iPadOS デバイスがサポートされるようになりました。 MTD パートナーがサポートされていて、21Vianet テナントにサインインすると、サポートされているコネクタを使用できます。

適用対象:

• Android
• iOS/iPadOS

詳細については、以下を参照してください:

• 中国の 21Vianet が運用している Intune
• Intune でのモバイル脅威防御の統合

アプリとポリシーの割り当ての新しい cpuArchitecture フィルター デバイス プロパティ

アプリ、コンプライアンス ポリシー、または構成プロファイルを割り当てると、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

Windows デバイスと macOS デバイスでは、新しい cpuArchitecture デバイス フィルター プロパティを使用できます。 このプロパティを使用すると、プロセッサ アーキテクチャに応じてアプリとポリシーの割り当てをフィルター処理できます。

フィルターと使用できるデバイス プロパティの詳細については、次を参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• フィルター プロパティ
• サポートされるワークロード

適用対象:

• Windows 10
• Windows 11
• macOS

デバイスのセキュリティ

エンドポイント セキュリティ ポリシーの Windows プラットフォーム名の変更

Intune でエンドポイント セキュリティ ポリシーを作成する場合は、Windows プラットフォームを選択できます。 エンドポイント セキュリティの複数のテンプレートの場合、Windows プラットフォームに対して選択できるオプションは 、Windows と Windows (ConfigMgr) の 2 つだけになりました。

具体的には、プラットフォーム名の変更は次のとおりです。

Original	新規
Windows 10 以降	Windows
Windows 10 以降 (ConfigMgr)	Windows (ConfigMgr)
Windows 10、Windows 11 および Windows Server	Windows
Windows 10、Windows 11、および Windows Server (ConfigMgr)	Windows (ConfigMgr)

これらの変更は、次のポリシーに適用されます。

• ウイルス対策
• ディスク暗号化
• ファイアウォール
• エンドポイント特権管理
• エンドポイントの検出および応答
• 攻撃面の縮小
• アカウントの保護

知っておく必要があること

• この変更は、管理者が新しいポリシーを作成するときに表示されるユーザー エクスペリエンス (UX) でのみ行われます。 デバイスに影響はありません。
• 機能的には、前のプラットフォーム名と同じです。
• 既存のポリシーに対する追加のタスクやアクションはありません。

Intune のエンドポイント セキュリティ機能の詳細については、「 Microsoft Intune でのエンドポイント セキュリティの管理」を参照してください。

適用対象:

• Windows

Apple ソフトウェア更新プログラムの適用のターゲット日付時刻設定では、デバイス上のローカル時刻を使用して更新プログラムがスケジュールされます

OS 更新プログラムがローカル タイム ゾーン内のデバイスに適用される時間を指定できます。 たとえば、午後 5 時に適用されるように OS 更新プログラムを構成すると、デバイスのローカル タイム ゾーンで午後 5 時の更新がスケジュールされます。 以前は、この設定では、ポリシーが構成されたブラウザーのタイム ゾーンが使用されていました。

この変更は、2408 年 8 月のリリース以降で作成された新しいポリシーにのみ適用されます。 [ターゲット日時] 設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >Settings catalog for profile type >Declarative Device Management> Software Update) の設定カタログにあります。

今後のリリースでは、 UTC テキストは [ターゲット日付時刻 ] 設定から削除されます。

設定カタログを使用してソフトウェア更新プログラムを構成する方法の詳細については、「設定 カタログを使用した管理されたソフトウェア更新プログラム」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Singletrack for Intune (iOS) by Singletrack
• 365Pay by 365 Retail Markets
• アイランド ブラウザー for Intune (Android) by Island Technology, Inc.
• 株式会社スパイア・イノベーションによるリクルートメント・エクスチェンジ
• Talent.Exchange by Spire Innovations, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

テナント管理

Microsoft 365 管理センターに組織のメッセージが表示されるようになりました

組織のメッセージ機能は、Microsoft Intune 管理センターから、Microsoft 365 管理センターの新しいホームに移動しました。 Microsoft Intune で作成したすべての組織のメッセージは、Microsoft 365 管理センターに表示および管理できます。 新しいエクスペリエンスには、カスタム メッセージを作成したり、Microsoft 365 アプリでメッセージを配信したりする機能など、要求の高い機能が含まれています。

詳細については、以下を参照してください:

• Microsoft 365 管理センターでの組織のメッセージ (プレビュー) の概要
• Microsoft 365 管理センターの組織のメッセージ
• サポート ヒント: 組織のメッセージが Microsoft 365 管理センターに移行する - Microsoft Community Hub

2024 年 7 月 29 日の週

Microsoft Intune Suite

GCC High と DoD では、エンドポイント特権管理、Advanced Analytics、Intune プラン 2 を使用できます

Microsoft Intune Suite の次の機能が、米国政府機関コミュニティ クラウド (GCC) High および米国国防総省 (DoD) 環境でサポートされるようになりました。

アドオン機能:

• エンドポイント特権管理
• Advanced Analytics - このリリースでは、ADVANCED Endpoint Analytics に対する GCC High および DoD のサポートには 、デバイス クエリ 機能は含まれていません。

2 つの機能を計画する:

• モバイル アプリケーション管理のための Microsoft Tunnel
• ファームウェア・オーバー・ザ・エア更新
• 特殊デバイス管理

詳細については、以下を参照してください:

• Microsoft Intune Suite アドオン機能を使用する
• Microsoft Intune for US Government GCC サービスの説明

デバイスの登録

iOS/iPadOS および macOS 登録に対する ACME プロトコルのサポート

Intune でマネージド デバイス構成証明をサポートする準備として、 自動証明書管理環境 (ACME) プロトコルのサポートを含む新しい登録のインフラストラクチャ変更の段階的なロールアウトを開始します。 新しい Apple デバイスが登録されると、Intune の管理プロファイルは SCEP 証明書ではなく ACME 証明書を受け取ります。 ACME は、堅牢な検証メカニズムと自動化されたプロセスを通じて、承認されていない証明書の発行に対する SCEP よりも優れた保護を提供します。これにより、証明書管理のエラーを減らすことができます。

既存の OS とハードウェアの対象デバイスは、再登録しない限り ACME 証明書を取得しません。 エンド ユーザーの登録エクスペリエンスに変更はなく、Microsoft Intune 管理センターにも変更はありません。 この変更は登録証明書にのみ影響し、デバイス構成ポリシーには影響しません。

ACME は、Apple Device Enrollment と Apple Configurator の登録方法でサポートされています。 対象となる OS バージョンは次のとおりです。

• iOS 16.0 以降
• iPadOS 16.1 以降
• macOS 13.1 以降

2024 年 7 月 22 日の週 (サービス リリース 2407)

Microsoft Intune Suite

Microsoft Cloud PKI の新しいアクション

Microsoft Cloud PKI 発行元およびルート証明機関 (CA) に対して、次のアクションが追加されました。

• 削除: CA を削除します。
• 一時停止: CA の使用を一時的に中断します。
• 取り消し: CA 証明書を取り消します。

Microsoft Intune 管理センターと Graph API では、すべての新しいアクションにアクセスできます。 詳細については、「 Microsoft Cloud PKI 証明機関を削除する」を参照してください。

アプリ管理

ポータル サイトからの追加の macOS アプリの種類に対する Intune のサポート

Intune では、Intune macOS ポータル サイトで [使用可能] として DMG アプリと PKG アプリを展開する機能がサポートされています。 この機能を使用すると、エンド ユーザーは macOS 用ポータル サイトを使用してエージェントでデプロイされたアプリケーションを参照してインストールできます。 この機能には、macOS v2407.005 用の Intune エージェントの最小バージョンと、macOS v5.2406.2 用の Intune ポータル サイトが必要です。

Intune 用の新しく利用可能な Enterprise App Catalog アプリ

Enterprise App Catalog が更新され、追加のアプリが含まれています。 サポートされているアプリの完全な一覧については、「 Enterprise App Catalog で使用できるアプリ」を参照してください。

Intune App SDK と Intune アプリ ラッピング ツールが別の GitHub リポジトリに追加されました

Intune App SDK と Intune アプリ ラッピング ツールは、別の GitHub リポジトリと新しいアカウントに移動しました。 既存のすべてのリポジトリに対してリダイレクトが設定されています。 さらに、Intune サンプル アプリケーションもこの移動に含まれています。 この変更は、Android プラットフォームと iOS プラットフォームの両方に関連します。

デバイス構成

Windows 設定カタログで使用できる新しいクリップボード転送方向設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログに移動します。

管理用テンプレートの > Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > デバイスとリソース リダイレクト:

• サーバーからクライアントへのクリップボード転送を制限する
• サーバーからクライアントへのクリップボード転送を制限する (ユーザー)
• クライアントからサーバーへのクリップボード転送を制限する
• クライアントからサーバーへのクリップボードの転送を制限する (ユーザー)

Azure Virtual Desktop でクリップボード転送方向を構成する方法の詳細については、「Azure Virtual Desktop で コピーできるクリップボード転送方向とデータの種類を構成する」を参照してください。

適用対象:

• Windows 11
• Windows 10

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

制限事項:

• 自動 Dim を許可する

macOS

プライバシー > プライバシー設定ポリシーの制御:

• Bluetooth Always

Android Enterprise には、[Google Play ストア内のすべてのアプリへのアクセスを許可する] 設定の新しい値があります

Intune デバイス制限構成ポリシーでは、[許可] オプションと [未構成] オプション ([デバイス>管理デバイス>構成>作成>新しいポリシー>[Android Enterprise for platform >Fully managed, dedicated and corporate-owned work profile] > プロファイルの種類のデバイス制限を使用して、[Google Play ストア内のすべてのアプリへのアクセスを許可する] 設定を構成できます>アプリケーション)。

使用可能なオプションは、[ 許可]、[ ブロック]、[ 未構成] に更新されます。

この設定を使用して、既存のプロファイルに影響はありません。

この設定と現在構成できる値の詳細については、「 Android Enterprise デバイス設定の一覧」を参照して、Intune を使用して企業所有デバイスの機能を許可または制限します。

適用対象:

• Android Enterprise フル マネージド、専用、企業所有の仕事用プロファイル

デバイスの登録

Red Hat Enterprise Linux の新しいサポート

Microsoft Intune では、Red Hat Enterprise Linux のデバイス管理がサポートされるようになりました。 Red Hat Enterprise Linux デバイスを登録および管理し、標準コンプライアンス ポリシー、カスタム構成スクリプト、コンプライアンス スクリプトを割り当てることができます。 詳細については、「 展開ガイド: Microsoft Intune で Linux デバイスを管理する」 と「 登録ガイド: Microsoft Intune で Linux デスクトップ デバイスを登録する」を参照してください。

適用対象:

• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 8

Windows 登録構成証明の新しい Intune レポートとデバイス アクション (パブリック プレビュー)

Microsoft Intune の新しいデバイス構成証明の状態レポートを使用して、ハードウェアのバックアップ中にデバイスが安全に構成証明および登録されているかどうかを確認します。 レポートから、新しいデバイス アクションを使用してリモート構成証明を試みることができます。

詳細については、以下を参照してください:

• Windows 登録構成証明
• Intune レポート

すべての iOS/iPadOS 登録で使用できる Just-In-Time 登録とコンプライアンス修復

Apple iOS および iPadOS のすべての登録に対して Just-In-Time (JIT) 登録と JIT コンプライアンスの修復を構成できるようになりました。 これらの Intune でサポートされている機能は、デバイスの登録とコンプライアンスチェックのために Intune ポータル サイト アプリの代わりに使用できるため、登録エクスペリエンスを向上させます。 新しい登録の JIT 登録とコンプライアンスの修復を設定し、既存の登録済みデバイスのエクスペリエンスを向上することをお勧めします。 詳細については、「 Microsoft Intune で Just-In Time 登録を設定する」を参照してください。

デバイス管理

ID 保護とアカウント保護のための Intune プロファイルの統合

ID とアカウントの保護に関連する Intune プロファイルを、 アカウント保護という名前の 1 つの新しいプロファイルに統合しました。 この新しいプロファイルは 、エンドポイント セキュリティのアカウント保護ポリシー ノードにあり、ID とアカウント保護の新しいポリシー インスタンスを作成するときに引き続き使用できる唯一のプロファイル テンプレートになりました。 新しいプロファイルには、ユーザーとデバイスの両方の Windows Hello for Business 設定と、Windows Credential Guard の設定が含まれます。

この新しいプロファイルでは、デバイス管理に Intune の統合設定形式が使用されるため、プロファイル設定は設定カタログからも利用でき、Intune 管理センターでのレポート エクスペリエンスの向上に役立ちます。

既存の次のプロファイル テンプレートのインスタンスは引き続き使用できますが、Intune ではこれらのプロファイルの新しいインスタンスの作成はサポートされなくなりました。

• ID 保護 – 以前は Devices>Configuration>Create>New Policy>Windows 10 以降>Templates>Identity Protection から入手できます。
• アカウント保護 (プレビュー) – 以前はエンドポイント セキュリティ>Account 保護>Windows 10 以降>Account 保護 (プレビュー) から入手できます

適用対象:

• Windows 10
• Windows 11

新しい比較演算子を使用した新しい operatingSystemVersion フィルター プロパティ (プレビュー)

新しい operatingSystemVersion フィルター プロパティがあります。 このプロパティ:

• パブリック プレビュー段階にあり、まだ開発中です。 そのため、 プレビュー デバイスなどの一部の機能はまだ機能しません。

• 既存の OSVersion プロパティの代わりにを使用する必要があります。 OSVersion プロパティは非推奨になっています。

  operatingSystemVersion一般公開 (GA) の場合、OSVersion プロパティは廃止され、このプロパティを使用して新しいフィルターを作成することはできません。 OSVersionを使用する既存のフィルターは引き続き機能します。

• 新しい比較演算子があります。

  • GreaterThan: バージョン値の種類に使用します。

    • 許可される値: -gt | gt
    • 例: (device.operatingSystemVersion -gt 10.0.22000.1000)

  • GreaterThanOrEquals: バージョン値の種類に使用します。

    • 許可される値: -ge | ge
    • 例: (device.operatingSystemVersion -ge 10.0.22000.1000)

  • LessThan: バージョン値の種類に使用します。

    • 許可される値: -lt | lt
    • 例: (device.operatingSystemVersion -lt 10.0.22000.1000)

  • LessThanOrEquals: バージョン値の種類に使用します。

    • 許可される値: -le | le
    • 例: (device.operatingSystemVersion -le 10.0.22000.1000)

マネージド デバイスの場合、 operatingSystemVersion は次に適用されます。

• Android
• iOS/iPadOS
• macOS
• Windows

マネージド アプリの場合、 operatingSystemVersion は次に適用されます。

• Android
• iOS/iPadOS
• Windows

フィルターと使用できるデバイス プロパティの詳細については、次を参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• フィルター プロパティ

macOS デバイスのリモート ヘルプに対する政府コミュニティ クラウド (GCC) のサポート

GCC のお客様は、Web アプリとネイティブ アプリケーションの両方で macOS デバイスのリモート ヘルプを使用できるようになりました。

適用対象:

• macOS 12、13、14

詳細については、以下を参照してください:

• macOS のリモート ヘルプ
• Microsoft Intune for US Government GCC サービスの説明

デバイスのセキュリティ

Windows 365 Cloud PC のセキュリティ ベースラインを更新しました

Windows 365 Cloud PC の Intune セキュリティ ベースラインをデプロイできるようになりました。 この新しいベースラインは、Windows バージョン 24H1 に基づいています。 この新しいベースライン バージョンでは、設定カタログに表示される統合設定プラットフォームが使用されます。これは、ユーザー インターフェイスとレポート エクスペリエンスの向上、入れ墨の設定に対する一貫性と精度の向上、プロファイルの割り当てフィルターをサポートする新しい機能を備えています。

Intune のセキュリティ ベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ち、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。

すべてのベースラインと同様に、既定のベースラインは、組織の要件を満たすように変更できる各設定の推奨構成を表します。

適用対象:

• Windows 10
• Windows 11

既定の構成に含まれる新しいベースラインの設定を表示するには、「 Windows 365 ベースライン設定バージョン 24H1」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Asana: Asana, Inc. による 1 か所での作業 (Android)
• Goodnotes 6 (iOS) by Time Base Technology Limited
• Riskonnect Inc. による Riskonnect の回復性
• Beakon Mobile App by Beakon Mobile Team
• HCSS プラン: Heavy Construction Systems スペシャリストによるリビジョン コントロール (iOS)
• HCSSフィールド:重建設システムスペシャリストによる時間、コスト、安全性(iOS)
• Synchrotab for Intune (iOS) by Synchrotab, LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 7 月 15 日の週

デバイス管理

攻撃面の縮小ポリシーのデバイス制御プロファイルの新しい設定

Intune 攻撃面の縮小ポリシーの Windows 10、Windows 11、および Windows Server プラットフォームのデバイス制御プロファイルに新しいカテゴリと設定が追加されました。

新しい設定は [ストレージ カードの許可] で、プロファイルの新しい [システム ] カテゴリにあります。 この設定は、Intune 設定カタログからも使用できます。

Windows デバイス用。

この設定は、ユーザーがデバイス ストレージにストレージ カードを使用できるかどうかを制御し、ストレージ カードへのプログラムによるアクセスを禁止できます。 この新しい設定の詳細については、Windows ドキュメントの AllowStorageCard に関するページを参照してください。

2024 年 7 月 8 日の週

デバイス管理

Intune の Copilot に、Kusto クエリ言語 (KQL) を使用したデバイス クエリ機能が用意されました (パブリック プレビュー)

Intune で Copilot を使用すると、KQL を使用する新しいデバイス クエリ機能があります。 この機能を使用して、自然言語を使用してデバイスについて質問します。 デバイス クエリが質問に回答できる場合、Copilot は実行できる KQL クエリを生成して目的のデータを取得します。

Intune で Copilot を現在使用する方法の詳細については、「Intune での Microsoft Copilot」を参照してください。

監視とトラブルシューティング

ポリシー、プロファイル、アプリに対する新しいアクション

iOS/iPadOS デバイスと Android 企業所有デバイスの個々のポリシー、プロファイル、アプリを削除、再インストール、再適用できるようになりました。 これらのアクションは、割り当てやグループ メンバーシップを変更せずに適用できます。 これらのアクションは、Intune の外部にある顧客の課題を解決するのに役立ちます。 また、これらのアクションは、エンド ユーザーの生産性をすばやく復元するのに役立ちます。

詳細については、「アプリと構成を削除する」を参照してください。

アプリ管理

マネージド ホーム画面アプリから使用できる MAC アドレス

MAC アドレスの詳細は、Managed Home Screen (MHS) アプリの [デバイス情報 ] ページから入手できるようになりました。 MHS の詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

マネージド ホーム画面の新しい構成機能

管理対象ホーム画面 (MHS) を構成して、エンド ユーザーが MHS からキオスク デバイス上のアプリ間を簡単に移動できるようにする仮想アプリ スイッチャー ボタンを有効にできるようになりました。 フローティング ボタンまたはスワイプ アップ アプリ スイッチャー ボタンを選択できます。 構成キーは virtual_app_switcher_type され、使用可能な値は none、 float、および swipe_upされます。 Managed Home Screen アプリの構成に関連する情報については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

デバイスの登録

ポータル サイトを使用した Apple ユーザーとデバイスの登録の更新

Intune ポータル サイトに登録している Apple デバイスのデバイス登録プロセスを変更しました。 以前は、登録中に Microsoft Entra デバイスの登録が行われました。 この変更により、登録は登録後に行われます。

既存の登録済みデバイスは、この変更の影響を受けません。 ポータル サイトを利用する新しいユーザーまたはデバイス登録の場合、ユーザーはポータル サイトに戻って登録を完了する必要があります。

• iOS ユーザーの場合: 通知が有効になっているユーザーは、iOS 用ポータル サイト アプリに戻るよう求められます。 通知を無効にした場合、通知は通知されませんが、登録を完了するにはポータル サイトに戻る必要があります。

• macOS デバイスの場合: macOS 用ポータル サイト アプリは、ユーザーがアプリを閉じない限り、管理プロファイルのインストールを検出し、デバイスを自動的に登録します。 アプリを閉じる場合は、登録を完了するために再度開く必要があります。

デバイスの登録を機能させるために依存する動的グループを使用している場合は、ユーザーがデバイス登録を完了することが重要です。 必要に応じて、ユーザー ガイダンスと管理者ドキュメントを更新します。 条件付きアクセス (CA) ポリシーを使用している場合、アクションは必要ありません。 ユーザーが CA で保護されたアプリにサインインしようとすると、ポータル サイトに戻って登録を完了するように求められます。

これらの変更は現在ロールアウト中であり、7 月末までにすべての Microsoft Intune テナントで利用できるようになります。 ポータル サイトのユーザー インターフェイスに変更はありません。 Apple デバイスのデバイス登録の詳細については、次を参照してください。

• 登録ガイド: Microsoft Intune で macOS デバイスを登録する
• 登録ガイド: Microsoft Intune で iOS デバイスと iPadOS デバイスを登録する

2024 年 6 月 24 日の週

デバイスの登録

Windows の会社のデバイス識別子を追加する

Microsoft Intune では、Windows 11 バージョン 22H2 以降を実行しているデバイスの企業デバイス識別子がサポートされるようになりました。そのため、登録の前に会社のマシンを識別できるようになりました。 モデル、製造元、シリアル番号の条件に一致するデバイスが登録されると、Microsoft Intune によって会社のデバイスとしてマークされ、適切な管理機能が有効になります。 詳細については、「 企業識別子の追加」を参照してください。

2024 年 6 月 17 日の週 (サービス リリース 2406)

Microsoft Intune Suite

MSI および PowerShell ファイルの種類に対するエンドポイント特権管理のサポート

エンドポイント特権管理 (EPM) 昇格規則 で、以前にサポートされていた実行可能ファイルに加えて、Windows インストーラーと PowerShell ファイルの昇格がサポートされるようになりました。 EPM でサポートされる新しいファイル拡張子は次のとおりです。

• .msi
• .ps1

EPM の使用については、「 エンドポイント特権管理」を参照してください。

Microsoft Cloud PKI プロパティで証明機関のキーの種類を表示する

CA キーと呼ばれる新しい Microsoft Cloud PKI プロパティが管理センターで使用でき、署名と暗号化に使用される証明機関キーの種類が表示されます。 プロパティには、次のいずれかの値が表示されます。

• HSM: ハードウェア セキュリティ モジュールによってサポートされるキーの使用を示します。
• SW: ソフトウェアでサポートされるキーの使用を示します。

ライセンスを持つ Intune Suite または Cloud PKI スタンドアロン アドオンを使用して作成された証明機関は、HSM 署名と暗号化キーを使用します。 試用期間中に作成された証明機関は、ソフトウェアによる署名と暗号化キーを使用します。 Microsoft Cloud PKI の詳細については、「 Microsoft Intune 用 Microsoft Cloud PKI の概要」を参照してください。

アプリ管理

米国 GCC と GCC マネージド ホーム画面の高いサポート

マネージド ホーム 画面 (MHS) では、米国政府機関コミュニティ (GCC)、米国政府コミュニティ (GCC) High、および米国国防総省 (DoD) 環境のサインインがサポートされるようになりました。 詳細については、「 マネージド ホーム画面の構成 」および「 Microsoft Intune for US Government GCC サービスの説明」を参照してください。

適用対象:

• Android Enterprise

Managed Apps レポートの更新

マネージド アプリ レポートには、特定のデバイスの Enterprise App Catalog アプリに関する詳細が表示されるようになりました。 このレポートの詳細については、「 Managed Apps レポート」を参照してください。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログに移動します。

iOS/iPadOS

制限事項:

• Web ディストリビューション アプリのインストールを許可する

システム構成 > フォント:

• Font
• 名前

macOS

プライバシー > プライバシー設定ポリシーの制御:

• Bluetooth Always

適用対象:

• iOS/iPadOS
• macOS

設定カタログを使用して管理対象の iOS/iPadOS DDM ソフトウェア更新プログラムを構成するために使用できる OS バージョン ピッカー

Intune 設定カタログを使用すると、Apple の宣言型デバイス管理 (DDM) 機能を構成して、iOS/iPadOS デバイスのソフトウェア更新プログラムを管理できます。

設定カタログを使用してマネージド ソフトウェア更新ポリシーを構成すると、次のことができます。

• Apple が利用できる更新プログラムの一覧からターゲット OS バージョンを選択します。
• 必要に応じて、ターゲット OS バージョンを手動で入力します。

Intune でマネージド ソフトウェア更新プログラム プロファイルを構成する方法の詳細については、「 設定カタログを使用してマネージド ソフトウェア更新プログラムを構成する」を参照してください。

適用対象:

• iOS/iPadOS

Intune 管理センターの UI 更新プログラム (デバイス > プラットフォーム別)

Intune 管理センターでは、[ デバイス>By プラットフォーム] を選択し、選択したプラットフォームのポリシー オプションを表示できます。 これらのプラットフォーム固有のページが更新され、ナビゲーション用のタブが含まれます。

Intune 管理センターのチュートリアルについては、「 チュートリアル: Microsoft Intune 管理センターのチュートリアル」を参照してください。

デバイスの登録

Windows の登録プラットフォームの制限に対する RBAC の変更

Microsoft Intune 管理センターのすべての登録プラットフォームの制限に対して、ロールベースのアクセス制御 (RBAC) が更新されました。 グローバル管理者ロールと Intune サービス管理者ロールは、登録プラットフォームの制限を作成、編集、削除、および再割り当てできます。 その他のすべての組み込み Intune ロールの場合、制限は読み取り専用です。

適用対象:

• Android
• Apple
• Windows 10 または 11

これらの変更を行う場合は、次の点を理解することが重要です。

• スコープ タグの動作は変更されません。 スコープ タグは通常どおり適用して使用できます。
• 割り当てられたロールまたはアクセス許可が現在、ユーザーが登録プラットフォームの制限を表示できないようにしている場合、何も変更されません。 ユーザーは引き続き管理センターで登録プラットフォームの制限を表示できません。

詳細については、「 デバイス プラットフォームの制限を作成する」を参照してください。

デバイス管理

Wandera を Jamf に置き換える更新プログラムが Intune 管理センターで完了しました

Wandera と Jamf の置き換えをサポートするために、Microsoft Intune 管理センターでのブランド変更が完了しました。 これには、Mobile Threat Defense コネクタの名前 (Jamf) の更新と、 Jamf コネクタを使用するために最低限必要なプラットフォームへの変更が含まれます。

• Android 11 以降
• iOS/ iPadOS 15.6 以降

Jamf と Intune がサポートする他の Mobile Threat Defense (MTD) ベンダーの詳細については、「 Mobile Threat Defense パートナー」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Arlanto GmbH による Atom Edge (iOS)
• HP Advance for Intune by HP Inc.
• IntraActive by Fellowmind
• Microsoft Azure (Android) by Microsoft Corporation
• Mobile Helix Link for Intune by Mobile Helix
• VPSX Print for Intune by Levi, Ray & Shoup, Inc.

保護されたアプリの詳細については、「Microsoft Intune で保護されたアプリ」を参照してください。

監視とトラブルシューティング

iOS および macOS 用ポータル サイト アプリで BitLocker 回復キーを表示する

エンド ユーザーは、iOS 用ポータル サイト アプリと macOS 用ポータル サイト アプリで、登録済みの Windows デバイスの BitLocker 回復キーと登録済み Mac の FileVault 回復キーを表示できます。 この機能により、エンド ユーザーが会社のマシンからロックアウトされた場合のヘルプデスク呼び出しが減ります。 エンド ユーザーは、ポータル サイト アプリにサインインし、[回復キーの取得] を選択することで、登録済みデバイスの 回復キーにアクセスできます。 このエクスペリエンスは、ポータル サイト Web サイトの回復プロセスに似ています。これにより、エンド ユーザーも回復キーを表示できます。

組織内のエンド ユーザーが BitLocker 回復キーにアクセスできないようにするには、Microsoft Entra ID の [ 管理者以外のユーザーが所有するデバイスの BitLocker キーを回復することを制限 する] 設定を構成します。

適用対象:

• macOS
• Windows 10 または 11

詳細については、以下を参照してください:

• Intune を使用して Windows デバイスの BitLocker ポリシーを管理する
• Windows の回復キーを取得する
• Intune で macOS に FileVault ディスク暗号化を使用する
• Mac 用の回復キーを取得する
• Microsoft Entra 管理センターを使用してデバイス ID を管理する

役割ベースのアクセス制御

Intune エンドポイント セキュリティ用の新しい詳細な RBAC コントロール

セキュリティ ベースライン のアクセス許可によって付与されるエンドポイント セキュリティ ポリシーに対するロールベースのアクセス制御 (RBAC) 権限を、特定のエンドポイント セキュリティ タスクに対する一連の詳細なアクセス許可に置き換え始めました。 この変更は、組み込みのエンドポイント セキュリティ マネージャー ロールまたはセキュリティ ベースラインアクセス許可を含むカスタム ロールに依存するのではなく、Intune 管理者が特定のジョブを実行するために必要な特定の権限を割り当てるのに役立ちます。 この変更の前に、 セキュリティ ベースライン のアクセス許可は、すべてのエンドポイント セキュリティ ポリシーに対する権限を付与します。

エンドポイント セキュリティ ワークロードでは、次の新しい RBAC アクセス許可を使用できます。

• ビジネス向けアプリ コントロール
• 攻撃面の縮小
• エンドポイントの検出および応答

各新しいアクセス許可では、関連するポリシーに対して次の権限がサポートされます。

• Assign
• 作成
• 削除
• 読み取り
• 更新
• レポートの表示

エンドポイント セキュリティ ポリシーの新しい詳細なアクセス許可を Intune に追加するたびに、それらの同じ権限が セキュリティ ベースライン のアクセス許可から削除されます。 セキュリティ ベースラインアクセス許可でカスタム ロールを使用する場合、新しい RBAC アクセス許可は、セキュリティ ベースラインアクセス許可を通じて付与されたのと同じ権限を持つカスタム ロールに自動的に割り当てられます。 この自動割り当てにより、管理者は現在と同じアクセス許可を持ち続けます。

現在の RBAC アクセス許可と組み込みロールの詳細については、次を参照してください。

• 「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
• Microsoft Intune の組み込みロールのアクセス許可
• 「Microsoft Intune でエンドポイント セキュリティ ポリシーを使用してデバイス セキュリティを管理する」のエンドポイント セキュリティ ポリシーにロールベースのアクセス制御を割り当てます。

2024 年 6 月 3 日の週

デバイスの登録

デバイスの新しい登録時間グループ化機能

登録時間のグループ化は、登録中にデバイスをグループ化するための新しい、より高速な方法です。 構成すると、Intune はインベントリの検出と動的メンバーシップ評価を必要とせずに、デバイスを適切なグループに追加します。 登録時間のグループ化を設定するには、各登録プロファイルで静的な Microsoft Entra セキュリティ グループを構成する必要があります。 デバイスが登録されると、Intune によって静的セキュリティ グループに追加され、割り当てられたアプリとポリシーが配信されます。

この機能は、Windows Autopilot デバイスの準備を使用して登録する Windows 11 デバイスで使用できます。 詳細については、「 Microsoft Intune での登録時間のグループ化」を参照してください。

2024 年 5 月 27 日の週

Microsoft Intune Suite

リモート ヘルプの新しいプライマリ エンドポイント

Windows、Web、macOS デバイスでの リモート ヘルプ のエクスペリエンスを向上させるために、リモート ヘルプのプライマリ エンドポイントが更新されました。

• 古いプライマリ エンドポイント: https://remoteassistance.support.services.microsoft.com
• 新しいプライマリ エンドポイント: https://remotehelp.microsoft.com

リモート ヘルプを使用し、新しいプライマリ エンドポイントをブロックするファイアウォール規則がある場合、管理者とユーザーは、ヘルプの削除を使用するときに接続の問題や中断が発生する可能性があります。

Windows デバイスで新しいプライマリ エンドポイントをサポートするには、リモート ヘルプをバージョン 5.1.124.0 にアップグレードします。 Web および macOS デバイスでは、新しいプライマリ エンドポイントを利用するために、リモート ヘルプの更新バージョンは必要ありません。

適用対象:

• macOS 11、12、13、14
• Windows 10 または 11
• ARM64 デバイスの Windows 11
• ARM64 デバイス上の Windows 10
• Windows 365

最新バージョンのリモート ヘルプについては、リモート ヘルプの新機能に関する 2024 年 3 月 13 日 のエントリを参照してください。 リモート ヘルプの Intune エンドポイントの詳細については、「Microsoft Intune のネットワーク エンドポイントのリモート ヘルプ」を参照してください。

デバイス管理

Linux 用 Windows サブシステムのコンプライアンスを評価する (パブリック プレビュー)

パブリック プレビューでは、Microsoft Intune では、Windows ホスト デバイスで実行されている Windows Subsystem for Linux (WSL) のインスタンスに対するコンプライアンス チェックがサポートされています。

このプレビューでは、WSL の必要なディストリビューションとバージョンを評価するカスタム コンプライアンス スクリプトを作成できます。 WSL コンプライアンスの結果は、ホスト デバイスの全体的なコンプライアンス状態に含まれます。

適用対象:

• Windows 10
• Windows 11

この機能の詳細については、「 Windows Subsystem for Linux (パブリック プレビュー)のコンプライアンスを評価する」を参照してください。

2024 年 5 月 20 日の週 (サービス リリース 2405)

デバイス構成

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

macOS 設定カタログに新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログ] に移動します。

Microsoft AutoUpdate (MAU):

• Microsoft Teams (職場または学校)
• クラシックMicrosoft Teams

Microsoft Defender > 機能:

• データ損失防止の使用
• システム拡張機能を使用する

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

デバイスの登録

エンド ユーザーの手順を減らすために Android デバイス登録をステージングする

エンド ユーザーの登録時間を短縮するために、Microsoft Intune では Android Enterprise デバイスのデバイス ステージングがサポートされています。 デバイスステージングでは、登録プロファイルをステージングし、これらのデバイスを受信するワーカーに関連するすべての登録手順を完了できます。

• 企業所有のフル マネージド デバイス
• 仕事用プロファイルを持つ企業所有のデバイス

現場担当者がデバイスを受け取る場合は、Wi-Fi に接続して職場アカウントにサインインする必要があります。 この機能を有効にするには、新しい デバイス ステージング トークン が必要です。 詳細については、「 デバイス のステージングの概要」を参照してください。

デバイス管理

登録済みの Windows デバイスの BitLocker 回復キーへのエンド ユーザー アクセス

エンド ユーザーは、ポータル サイト Web サイトから登録済みの Windows デバイスの BitLocker 回復キーを表示できるようになりました。 この機能により、エンド ユーザーが会社のマシンからロックアウトされた場合のヘルプデスク呼び出しを減らすことができます。 エンド ユーザーは、ポータル サイト Web サイトにサインインし、[回復キーの表示] を選択することで、登録済みデバイスの 回復キーにアクセスできます。 このエクスペリエンスは MyAccount Web サイトに似ています。これにより、エンド ユーザーも回復キーを表示できます。

組織内のエンド ユーザーが BitLocker 回復キーにアクセスできないようにするには、[Entra ID] トグル [ 管理者以外のユーザーが所有するデバイスの BitLocker キーを回復することを制限する] を構成します。

詳細については、以下を参照してください:

• Microsoft Entra 管理センターを使用してデバイス ID を管理する
• Windows の回復キーを取得する
• Intune を使用して Windows デバイスの BitLocker ポリシーを管理する

Windows ハードウェア構成証明レポートの新しいバージョン

Device Health Attestation と Microsoft Azure Attestation for Windows 10/11 によって構成証明された設定の値を示す新しいバージョンの Windows ハードウェア構成証明レポートがリリースされました。 Windows ハードウェア構成証明レポートは、新しいレポート インフラストラクチャに基づいて構築され、Microsoft Azure 構成証明に追加された新しい設定について報告します。 レポートは、管理センターの レポート>Device Compliance>Reports で使用できます。

詳細については、「Intune レポート」を参照してください。

以前に [デバイス>Monitor ] で利用できる Windows 正常性構成証明レポートは廃止されました。

適用対象:

• Windows 10
• Windows 11

オプションの機能更新プログラム

機能更新プログラムは、 オプション の機能更新プログラムの導入と共に、 オプション の更新プログラムとしてエンド ユーザーが利用できるようになりました。 エンド ユーザーは、コンシューマー デバイスに表示されるのと同じ方法で 、Windows Update の設定ページに更新プログラムが表示されます。

エンド ユーザーは、次の機能更新プログラムを試してフィードバックを提供することを簡単に選択できます。 必要 な 更新プログラムとして機能をロールアウトする場合、管理者はポリシーの設定を変更し、ロールアウト設定を更新して、更新プログラムがまだインストールされていないデバイスに 対して必要な 更新プログラムとして展開されるようにすることができます。

オプションの機能更新プログラムの詳細については、「 Intune での Windows 10 以降の機能更新プログラム」を参照してください。

適用対象:

• Windows 10
• Windows 11

デバイスのセキュリティ

Microsoft Defender for Endpoint のセキュリティ ベースラインが更新されました

Microsoft Defender for Endpoint の Intune セキュリティ ベースラインをデプロイできるようになりました。 新しいベースライン バージョン 24H1 では、設定カタログに表示される統合設定プラットフォームが使用されます。このプラットフォームでは、ユーザー インターフェイスとレポート エクスペリエンスが向上し、入れ墨の設定に対する一貫性と精度が向上し、プロファイルの割り当てフィルターをサポートする新しい機能が備わっています。

Intune のセキュリティ ベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ち、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。

すべてのベースラインと同様に、既定のベースラインは、組織の要件を満たすように変更できる各設定の推奨構成を表します。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Fellow.app by Fellow Insights Inc
• Unique AG によるユニークな瞬間

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 5 月 6 日の週

デバイス管理

Intune と macOS ポータル サイト アプリは、プラットフォーム SSO (パブリック プレビュー) をサポートしています

Apple デバイスでは、Microsoft Intune と Microsoft Enterprise SSO プラグインを使用して、Microsoft 365 を含む Microsoft Entra 認証をサポートするアプリや Web サイトのシングル サインオン (SSO) を構成できます。

macOS デバイスでは、プラットフォーム SSO はパブリック プレビューで使用できます。 プラットフォーム SSO では、さまざまな認証方法を構成したり、ユーザーのサインイン プロセスを簡略化したり、覚えておく必要があるパスワードの数を減らしたりすることで、SSO アプリ拡張機能が拡張されます。

プラットフォーム SSO は、ポータル サイト アプリ バージョン 5.2404.0 以降に含まれています。

プラットフォーム SSO と開始方法の詳細については、次を参照してください。

• Microsoft Intune で macOS デバイスのプラットフォーム SSO を構成する
• Microsoft Intune での Apple デバイスのシングル サインオン (SSO) の概要とオプション

適用対象:

• macOS 13 以降

テナント管理

Intune 管理センターのエクスペリエンスをカスタマイズする

折りたたみ可能なナビゲーションとお気に入りを使用して、Intune 管理センターのエクスペリエンスをカスタマイズできるようになりました。 Microsoft Intune 管理センターの左側のナビゲーション メニューが更新され、メニューの各サブセクションの展開と折りたたみがサポートされます。 さらに、管理センターページをお気に入りとして設定することもできます。 このポータル機能は、次の週に徐々にロールアウトされます。

既定では、メニュー セクションが展開されます。 ポータルのメニュー動作を選択するには、右上にある [設定 ] 歯車アイコンを選択して ポータルの設定を表示します。 次に、[ 外観 + スタートアップ ビュー ] を選択し、既定のポータル オプションとして [サービス] メニューの動作 を [折りたたみ] または [展開] に設定します。 各メニュー セクションには、選択した展開または折りたたまれた状態が保持されます。 さらに、左側のナビゲーションのページの横にある星のアイコンを選択すると、メニューの上部近くの [お気に入り ] セクションにページが追加されます。

関連情報については、「 ポータルの設定を変更する」を参照してください。

2024 年 4 月 29 日の週

アプリ管理

マネージド ホーム画面エクスペリエンスの更新

最近、マネージド ホーム画面のエクスペリエンスがリリースされ、改善されました。現在は一般公開されています。 アプリは、アプリケーション全体のコア ワークフローを改善するために再設計されました。 更新された設計により、より使用可能でサポート可能なエクスペリエンスが提供されます。

このリリースでは、以前の Managed Home Screen ワークフローへの投資を停止します。 マネージド ホーム画面の新機能と修正プログラムは、新しいエクスペリエンスにのみ追加されます。 2024 年 8 月中に、すべてのデバイスで新しいエクスペリエンスが自動的に有効になります。

詳細については、「Android Enterprise および Android Enterprise デバイス設定の Microsoft Managed Home Screen アプリを構成して、Intune を使用して企業所有デバイスの機能を許可または制限する」を参照してください。

マネージド ホーム画面でアクティビティを再開するには、エンド ユーザーに PIN の入力を要求する

Intune では、エンド ユーザーにセッション PIN の入力を要求して、指定した期間デバイスが非アクティブな場合に、マネージド ホーム画面でアクティビティを再開できます。 [ セッション PIN が必要になるまでの最小非アクティブ時間 ] 設定を、エンド ユーザーがセッション PIN を入力する前にデバイスが非アクティブな秒数に設定します。

詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

管理対象ホーム画面から利用可能なデバイス IPv4 と IPv6 の詳細

IPv4 と IPv6 の両方の接続の詳細は、マネージド ホーム画面アプリの [デバイス情報 ] ページから入手できるようになりました。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

マネージド ホーム画面のサインイン サポートの更新

マネージド ホーム画面でドメインレス サインインがサポートされるようになりました。 管理者は、サインイン時にユーザー名に自動的に追加されるドメイン名を構成できます。 また、マネージド ホーム画面では、サインイン プロセス中にユーザーに表示されるカスタム ログイン ヒント テキストもサポートされています。

詳細については、「Android Enterprise および Android Enterprise デバイス設定の Microsoft Managed Home Screen アプリを構成して、Intune を使用して企業所有デバイスの機能を許可または制限する」を参照してください。

エンド ユーザーが Android Enterprise デバイスの自動ローテーションを制御できるようにする

Intune では、エンド ユーザーがデバイスの自動ローテーションをオンまたはオフにできる設定をマネージド ホーム画面アプリで公開できるようになりました。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

エンド ユーザーが Android Enterprise デバイスの画面の明るさを調整できるようにする

Intune では、管理対象ホーム画面アプリの設定を公開して、Android Enterprise デバイスの画面の明るさを調整できます。 アプリで設定を公開して、エンド ユーザーが明るさスライダーにアクセスしてデバイスの画面の明るさを調整できるようにすることができます。 また、エンド ユーザーがアダプティブ明るさを切り替えるように設定を公開することもできます。

詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

Xamarin から .NET MAUI に移行されました

Xamarin.Forms は.NET マルチプラットフォーム アプリ UI (MAUI) に進化しました。 既存の Xamarin プロジェクトを .NET MAUI に移行する必要があります。 Xamarin プロジェクトを .NET にアップグレードする方法の詳細については、「 Xamarin から .NET へのアップグレード」& .NET MAUI のドキュメントを参照してください。

Xamarin のサポートは、Xamarin.Forms や Intune App SDK Xamarin Bindings を含むすべての Xamarin SDK について、2024 年 5 月 1 日に終了しました。 Android および iOS プラットフォームでの Intune サポートについては、「 Intune App SDK for .NET MAUI - Android」および 「Microsoft Intune App SDK for MAUI.iOS」を参照してください。

2024 年 4 月 22 日の週 (サービス リリース 2404)

アプリ管理

Win32 アプリの置き換えで利用可能な自動更新

Win32 アプリの置き換えは、 自動更新 の意図で使用可能な状態でデプロイされたアプリを置き換える機能を提供します。 たとえば、利用可能な Win32 アプリ (アプリ A) を展開し、ユーザーがデバイスにインストールした場合、 自動更新を使用してアプリ A を置き換える新しい Win32 アプリ (アプリ B) を作成できます。 ポータル サイトから使用可能なアプリ A がインストールされているすべてのターゲット デバイスとユーザーは、アプリ B に置き換えられます。また、ポータル サイトにはアプリ B のみが表示されます。 利用可能なアプリの置き換えの自動更新機能は、[割り当て] タブの [使用可能な割り当て] の下のトグルとして見つけることができます。

アプリの置き換えの詳細については、「 Win32 アプリの置き換えの追加」を参照してください。

デバイス構成

OEMConfig ポリシーが Android Enterprise デバイスで 500 KB を超えると、エラー メッセージが表示される

Android Enterprise デバイスでは、OEMConfig デバイス構成プロファイルを使用して、OEM 固有の設定を追加、作成、カスタマイズできます。

500 KB を超える OEMConfig ポリシーを作成すると、Intune 管理センターに次のエラーが表示されます。

Profile is larger than 500KB. Adjust profile settings to decrease the size.

以前は、500 KB を超えた OEMConfig ポリシーは保留中として表示されていました。

OEMConfig プロファイルの詳細については、「 Microsoft Intune で OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

• Android Enterprise

デバイスのセキュリティ

ファイアウォール規則を処理するための Windows ファイアウォール CSP の変更

Windows は、ファイアウォール構成サービス プロバイダー (CSP) がファイアウォール規則のアトミック ブロックからの規則を適用する方法を変更しました。 デバイス上の Windows ファイアウォール CSP は、 Intune エンドポイント セキュリティ ファイアウォール ポリシーのファイアウォール規則設定を実装します。 CSP の動作の変更により、各 Atomic ブロックの規則からファイアウォール規則の適用がすべてまたはまったく適用されなくなります。

• 以前は、デバイス上の CSP は、その Atomic ブロック内のすべてのルールを適用することを目標に、一度に 1 つのルール (または設定) のアトミック ブロック内のファイアウォール規則を通過していました。 CSP がブロックからデバイスにルールを適用する際に問題が発生した場合、CSP はそのルールを停止するだけでなく、適用を試みることなく後続のルールの処理を停止します。 ただし、ルールが失敗する前に正常に適用されたルールは、デバイスに適用されたままです。 規則の適用に失敗する前に適用された規則は元に戻されないため、この動作により、デバイスにファイアウォール規則が部分的に展開される可能性があります。

• ファイアウォール CSP への変更により、ブロック内のルールがデバイスへの適用に失敗すると、正常に適用された同じ Atomic ブロックのすべてのルールがロールバックされます。 この動作により、必要なすべてまたは何もない動作が実装され、そのブロックからのファイアウォール規則の部分的な展開が防止されます。 たとえば、適用できない規則が正しく構成されていないファイアウォール規則のアトミック ブロックをデバイスが受け取った場合、またはデバイス オペレーティング システムと互換性のないルールがある場合、CSP はそのブロックからすべてのルールを失敗させ、そのデバイスに適用されたすべてのルールをロールバックします。

このファイアウォール CSP 動作の変更は、次の Windows バージョン以降を実行するデバイスで使用できます。

• Windows 11 21H2
• Windows 11 22H2
• Windows 10 21H2

Windows ファイアウォール CSP がアトミック ブロックを使用してファイアウォール規則を含める方法の詳細については、Windows ドキュメントの ファイアウォール CSP の上部付近にあるメモを参照してください。

トラブルシューティング ガイダンスについては、Intune サポート ブログ「 Intune エンドポイント セキュリティ ファイアウォール規則の作成プロセスをトレースしてトラブルシューティングする方法」を参照してください。

CrowdStrike – 新しいモバイル脅威防御パートナー

Intune と統合された Mobile Threat Defense (MTD) パートナーとして CrowdStrike Falcon を追加しました。 Intune で CrowdStrike コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

Intune 2404 サービス リリースでは、CrowdStrike コネクタが管理センターで使用できるようになりました。 ただし、CrowdStrike が iOS および Android デバイスをサポートするために必要なアプリ構成プロファイルの詳細を公開するまでは使用できません。 プロファイルの詳細は、5 月の第 2 週後に予想されます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Asana: Asana, Inc. が 1 か所で作業する
• Intune 用 Freshservice by Freshworks, Inc.
• タングステンオートメーション株式会社によるKofaxパワーPDFモバイル
• Microsoft Corporation によるリモート デスクトップ

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows 更新プログラムの配布レポート

Intune の Windows 更新プログラム配布レポートには、概要レポートが用意されています。 このレポートには、次の情報が表示されます。

• 各品質更新レベルにあるデバイスの数。
• 共同管理デバイスを含む Intune マネージド デバイス全体の各更新プログラムのカバレッジの割合。

Windows 10/11 機能バージョンと更新プログラムの状態に基づいてデバイスを集計する品質更新プログラムごとに、レポートをさらにドリルダウンできます。

最後に、管理者は、前の 2 つのレポートに示されている数値に集計されたデバイスの一覧を取得できます。また、Windows Update for Business レポートと共にトラブルシューティングや分析にエクスポートして使用することもできます。

Windows 更新プログラムの配布レポートの詳細については、「 Intune 上の Windows Update レポート」を参照してください。

適用対象:

• Windows 10
• Windows 11

Microsoft 365 リモート アプリケーション診断の Intune サポート

Microsoft 365 リモート アプリケーション診断を使用すると、Intune 管理者は Intune コンソールから Intune アプリ保護ログと Microsoft 365 アプリケーション ログ (該当する場合) を直接要求できます。 このレポートは、Microsoft Intune 管理センターで [トラブルシューティングとサポート>Troubleshoot>ユーザー>Summary>App protection* を選択することで確認できます。 この機能は、Intune アプリ保護管理下にあるアプリケーション専用です。 サポートされている場合、アプリケーション固有のログが収集され、アプリケーションごとに専用ストレージ ソリューションに格納されます。

詳細については、「 Intune マネージド デバイスから診断を収集する」を参照してください。

リモート ヘルプでは、macOS デバイスのフル コントロールがサポートされます

リモート ヘルプでは、ヘルプデスクがユーザーのデバイスに接続し、macOS デバイスのフル コントロールを要求できるようになりました。

詳細については、以下を参照してください:

• macOS のリモート ヘルプ
• リモート ヘルプ Web アプリ

適用対象:

• macOS 12、13、14

2024 年 4 月 15 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Atom Edge by Arlanto Apps

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 4 月 1 日の週

デバイス管理

Intune の Copilot は、Intune 管理センターで使用できます (パブリック プレビュー)

Intune の Copilot は Intune 管理センターに統合されており、情報をすばやく取得するのに役立ちます。 Intune では、次のタスクに Copilot を使用できます。

✅ Copilot は、設定とポリシーの管理に役立ちます

• 設定に関する Copilot ヒント: ポリシーに設定を追加したり、既存のポリシーの設定を確認したりすると、新しい Copilot ヒントが表示されます。 ツールヒントを選択すると、Microsoft のコンテンツと推奨事項に基づいて AI によって生成されるガイダンスが表示されます。 設定が別のポリシーで構成されている場合は、各設定の動作、設定のしくみ、推奨値などを確認できます。

• ポリシー サマライザー: 既存のポリシーでは、ポリシーの Copilot の概要が表示されます。 サマリーでは、ポリシーの動作、ポリシーに割り当てられているユーザーとグループ、ポリシーの設定について説明します。 この機能は、ポリシーとその設定がユーザーとデバイスに与える影響を理解するのに役立ちます。

✅ Copilot はデバイスの詳細を表示し、トラブルシューティングに役立ちます

• デバイスに関するすべて: デバイスでは、Copilot を使用して、デバイスのプロパティ、構成、状態情報など、デバイスに関する重要な情報を取得できます。

• デバイスの比較: Copilot を使用して、2 つのデバイスのハードウェアプロパティとデバイス構成を比較します。 この機能は、特にトラブルシューティングを行う場合に、同様の構成を持つ 2 つのデバイス間で何が異なるかを判断するのに役立ちます。

• エラー コード アナライザー: デバイス ビューで Copilot を使用してエラー コードを分析します。 この機能は、エラーの意味を理解するのに役立ち、潜在的な解決策を提供します。

✅ セキュリティのための Copilot の Intune 機能

Intune には、Copilot for Security ポータルで使用できる機能があります。 SOC アナリストと IT 管理者は、これらの機能を使用して、ポリシー、デバイス、グループ メンバーシップなどの詳細情報を取得できます。 1 つのデバイスで、コンプライアンスの状態、デバイスの種類など、Intune 固有のより具体的な情報を取得できます。

また、Copilot にユーザーのデバイスについて伝え、重要な情報の簡単な概要を取得するように依頼することもできます。 たとえば、出力には、Intune のユーザーのデバイスへのリンク、デバイス ID、登録日、最終チェックイン日、コンプライアンスの状態が表示されます。 IT 管理者でユーザーを確認している場合、このデータは簡単な概要を提供します。

疑わしい、または侵害される可能性のあるユーザーまたはデバイスを調査している SOC アナリストは、登録日や最終チェックインなどの情報を基にした意思決定を行うのに役立ちます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Copilot in Intune
• Copilot for Security で Microsoft Intune データにアクセスする

適用対象:

• Android
• iOS/iPadOS
• macOS
• Windows

GCC のお客様は、Windows および Android デバイスのリモート ヘルプを使用できます

Microsoft Intune Suite には、リモート ヘルプを含む高度なエンドポイント管理とセキュリティ機能が含まれています。

Windows および登録済みの Android Enterprise 専用デバイスでは、米国政府機関 GCC 環境でリモート ヘルプを使用できます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Intune for US Government GCC サービスの説明
• Microsoft Intune でリモート ヘルプを使用する

適用対象:

• Windows 10 または 11
• ARM64 デバイスの Windows 10/11
• Windows 365
• Android Enterprise 専用デバイスとして登録されている Samsung デバイスと Zebra デバイス

デバイス構成

OEM 向けの新しい BIOS デバイス構成プロファイル

OEM 用の新しい BIOS 構成とその他の設定 デバイス構成ポリシーがあります。 管理者は、この新しいポリシーを使用して、デバイスをセキュリティで保護するさまざまな BIOS 機能を有効または無効にすることができます。 Intune デバイス構成ポリシーでは、BIOS 構成ファイルを追加し、Win32 アプリをデプロイしてから、デバイスにポリシーを割り当てます。

たとえば、管理者は Dell Command ツール (Dell の Web サイトを開く) を使用して BIOS 構成ファイルを作成できます。 次に、このファイルを新しい Intune ポリシーに追加します。

この機能の詳細については、「 Microsoft Intune の Windows デバイスで BIOS 構成プロファイルを使用する」を参照してください。

適用対象

• Windows 10 以降

2024 年 3 月 25 日の週 (サービス リリース 2403)

Microsoft Intune Suite

エンドポイント特権管理の新しい昇格の種類

Endpoint Privilege Management には、新しいファイル昇格の種類があり、 サポートが承認されています。 Endpoint Privilege Management は Microsoft Intune Suite の機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。

サポートが承認された昇格では、既定の昇格応答と各ルールの昇格の種類の両方に対して 3 番目のオプションが提供されます。 自動またはユーザーによる確認とは異なり、サポートが承認された昇格要求では、Intune 管理者は、ケース バイ ケースで管理者特権で実行できるファイルを管理する必要があります。

承認された昇格をサポートすると、ユーザーは、自動またはユーザーが承認したルールによって昇格が明示的に許可されていないアプリケーションを昇格するための承認を要求できます。 これは、昇格要求を承認または拒否できる Intune 管理者が確認する必要がある昇格要求の形式をとります。

要求が承認されると、アプリケーションを管理者特権で実行できるようになり、昇格の承認が期限切れになるまでに、承認時から 24 時間が経過すると、ユーザーに通知されます。

適用対象:

• Windows 10
• Windows 11

この新機能の詳細については、「 承認済みの昇格要求をサポートする」を参照してください。

アプリ管理

仕事用プロファイルを持つ個人所有の Android デバイス上のマネージド Google Play アプリの拡張機能

仕事用プロファイル デバイスに拡張された新機能があります。 次の機能は、以前は企業所有のデバイスでのみ使用できます。

• デバイス グループで使用できるアプリ: Intune を使用して、マネージド Google Play ストアを通じてデバイス グループでアプリを使用できるようにします。 以前は、アプリはユーザー グループでのみ使用できました。

• 更新の優先順位の設定: Intune を使用して、仕事用プロファイルを持つデバイスでアプリの更新の優先順位を構成できます。 この設定の詳細については、「 マネージド Google Play アプリを更新する」を参照してください。

• 必要なアプリは、マネージド Google Play で使用可能な場合に表示されます。Intune を使用して、マネージド Google Play ストアを通じてユーザーが必要なアプリを使用できるようにします。 既存のポリシーの一部であるアプリが使用可能として表示されるようになりました。

これらの新機能は、複数月にわたって段階的なロールアウトに従います。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) > パスコード:

• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

制限事項:

• Marketplace アプリのインストールを許可する

macOS

宣言型デバイス管理 (DDM) > パスコード:

• 次回認証時に変更する
• カスタム正規表現
• 失敗した試行のリセット (分単位)
• パスコードの最長有効期間 (日数)
• 最小複合文字
• 英数字パスコードを要求する

完全ディスク暗号化 > FileVault:

• 回復キーのローテーション (月単位)

Windows 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログに移動します。

• 配信の最適化:

  • [VPN でのキャッシュ サーバーのダウンロードを禁止する ] - この設定では、デバイスが VPN を使用して接続するときに、Microsoft Connected Cache サーバーからのダウンロードがブロックされます。 既定では、VPN を使用して接続されている場合、デバイスは Microsoft Connected Cache からダウンロードできます。

  • DO バックグラウンド ダウンロード帯域幅を制限する時間を設定する - この設定では、バックグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO 前景ダウンロード帯域幅を制限するように時間を設定する - この設定では、フォアグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

  • DO VPN キーワード - このポリシーを使用すると、VPN 接続を認識するために使用される 1 つ以上のキーワードを設定できます。

• メッセージング:

  • メッセージ同期を許可 する - このポリシー設定では、携帯ネットワーク テキスト メッセージのバックアップと復元を Microsoft のクラウド サービスに許可します。

• Microsoft Defender ウイルス対策:

  • アーカイブ ファイルをスキャンする最大深度を指定する
  • スキャンするアーカイブ ファイルの最大サイズを指定する

これらの設定の詳細については、次を参照してください。

• ポリシー CSP - DeliveryOptimization
• ポリシー CSP - メッセージング
• ポリシー CSP - ADMX_MicrosoftDefenderAntivirus

適用対象:

• Windows 10 以降

Windows デバイスのウイルス対策ポリシーに追加された新しいアーカイブ ファイル スキャン設定

Windows 10 および Windows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーの Microsoft Defender ウイルス対策プロファイルに、次の 2 つの設定を追加しました。

• アーカイブ ファイルをスキャンする最大深度を指定 する - この設定を使用すると、スキャン中に .ZIP や .CAB などのアーカイブ ファイルを開梱する最大ディレクトリ深度レベルを構成できます。
• スキャンするアーカイブ ファイルの最大サイズを指定 する - この設定を使用すると、スキャンされる .ZIP や .CAB などのアーカイブ ファイルの最大サイズを構成できます。 値は、ファイル サイズ (KB) をキロバイト単位で表します。

ウイルス対策ポリシーを使用すると、Intune によって登録されたデバイスと、 Defender for Endpoint セキュリティ設定管理 シナリオで管理されているデバイスで、これらの設定を管理できます。

どちらの設定も、デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類>Defender 用の設定カタログで使用できます。

適用対象:

• Windows 10
• Windows 11

割り当てフィルターの更新

Intune 割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

これで、次のことができます。

• Window MAM アプリ保護ポリシーとアプリ構成ポリシーには、マネージド アプリ割り当てフィルターを使用します。
• 既存の割り当てフィルターを [プラットフォーム]、[ マネージド アプリ ] または [ マネージド デバイス ] フィルターの種類でフィルター処理します。 フィルターが多数ある場合、この機能を使用すると、作成した特定のフィルターを簡単に見つけることができます。

これらの機能の詳細については、以下を参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
• Windows MAM のデータ保護

この機能は、以下に適用されます。

• 次のプラットフォーム上のマネージド デバイス:

  • Android デバイス管理者
  • Android Enterprise
  • Android (AOSP)
  • iOS/iPadOS
  • macOS
  • Windows 10 または 11

• 次のプラットフォーム上のマネージド アプリ:

  • Android
  • iOS/iPadOS
  • Windows

デバイス管理

新しいコンプライアンス設定を使用すると、ハードウェアに基づくセキュリティ機能を使用してデバイスの整合性を確認できます

ハードウェアに基づくセキュリティ機能を使用して強力な整合性を確認するという新しいコンプライアンス設定を使用すると、ハードウェアに基づくキー構成証明を使用してデバイスの整合性を確認できます。 この設定を構成すると、強力な整合性構成証明が Google Play の整合性判定評価に追加されます。 準拠を維持するには、デバイスがデバイスの整合性を満たす必要があります。 Microsoft Intune は、この種類の整合性チェックをサポートしていないデバイスを非準拠としてマークします。

この設定は、Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイルのプロファイルで、[ Device Health>Google Play Protect] で使用できます。 これは、プロファイルの [Play integrity verdict policy] が [ 基本的な整合性の確認 ] または [デバイスの整合性 & 基本的な整合性の確認] に設定されている場合にのみ使用できるようになります。

適用対象:

• Android Enterprise

詳細については、「 デバイスコンプライアンス - Google Play Protect」を参照してください。

Android 仕事用プロファイル、個人用デバイスの新しいコンプライアンス設定

これで、デバイス パスワードに影響を与えることなく、仕事用プロファイル パスワードのコンプライアンス要件を追加できるようになりました。 すべての新しい Microsoft Intune 設定は、Android Enterprise 個人所有の仕事用プロファイルの [ システム セキュリティ>Work Profile Security のコンプライアンス プロファイルで使用でき、次のものが含まれます。

• 仕事用プロファイルのロックを解除するためにパスワードを要求する
• パスワードの有効期限が切れるまでの日数
• 再使用を禁止するパスワード世代数
• パスワードが要求されるまでの非アクティブの最長時間 (分)
• パスワードの複雑さ
• パスワードの入力が必要
• パスワードの最小文字数

仕事用プロファイルのパスワードが要件を満たしていない場合、ポータル サイトはデバイスを非準拠としてマークします。 Intune コンプライアンス設定は、Intune デバイス構成プロファイルのそれぞれの設定よりも優先されます。 たとえば、コンプライアンス プロファイルのパスワードの複雑さは [中] に設定されます。 デバイス構成プロファイルのパスワードの複雑さは 高に設定されています。 Intune では、コンプライアンス ポリシーの優先順位付けと適用が行われます。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

詳細については、「 コンプライアンス設定 - Android Enterprise」を参照してください。

セキュリティ以外の更新プログラムを迅速化するための Windows 品質更新プログラムのサポート

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「 Microsoft Intune での Windows 品質更新プログラムの迅速化」を参照してください。

構成更新の適用間隔を一時停止するリモート アクションの概要

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、デバイスを Intune にチェックインすることなく、以前に受信したポリシー設定を再適用する Windows デバイスの頻度を設定できます。 デバイスは、構成ドリフトの可能性を最小限に抑えるために、以前に受信したポリシーに基づいて設定を再生して再適用します。

この機能をサポートするために、操作の一時停止を許可するリモート アクションが追加されます。 管理者がトラブルシューティングやメンテナンスのためにデバイスに変更を加えたり修復を実行したりする必要がある場合は、指定した期間 Intune から一時停止を発行できます。 期間が期限切れになると、設定が再度適用されます。

リモート アクション [ 構成の更新の一時停止] には、デバイスの概要ページからアクセスできます。

詳細については、以下を参照してください:

• リモート操作
• 構成の更新を一時停止するリモート アクション

デバイスのセキュリティ

Windows バージョン 23H2 のセキュリティ ベースラインを更新しました

Windows バージョン 23H2 の Intune セキュリティ ベースラインをデプロイできるようになりました。 この新しいベースラインは、Microsoft ダウンロード センターのセキュリティ コンプライアンス ツールキットとベースラインにあるグループ ポリシー セキュリティ ベースラインのバージョン 23H2 に基づいており、Intune で管理されているデバイスに適用できる設定のみが含まれています。 この更新されたベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ちます。

このベースラインでは、設定カタログに表示される統合設定プラットフォームが使用されます。 これは、改善されたユーザーインターフェイスとレポートの経験、入れ墨の設定に関連する一貫性と精度の向上を備え、プロファイルの割り当てフィルタをサポートすることができます。

Intune のセキュリティ ベースラインを使用すると、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。これは、組織の要件を満たすように変更できます。

適用対象:

• Windows 10
• Windows 11

既定の構成に含まれる新しいベースラインの設定を表示するには、「 Windows MDM セキュリティ ベースライン バージョン 23H2」を参照してください。

ポッドマンのルートレス実装を使用して Microsoft Tunnel をホストする

前提条件が満たされたら、ルートレス Podman コンテナーを使用して Microsoft Tunnel サーバーをホストできます。 この機能は、 Podman for Red Hat Enterprise Linux (RHEL) バージョン 8.8 以降を使用して Microsoft Tunnel をホストする場合に使用できます。

ルートレス Podman コンテナーを使用する場合、mstunnel サービスは特権のないサービス ユーザーの下で実行されます。 この実装は、コンテナー エスケープからの影響を制限するのに役立ちます。 ルートレス Podman コンテナーを使用するには、変更されたコマンド ラインを使用してトンネル インストール スクリプトを開始する必要があります。

この Microsoft Tunnel インストール オプションの詳細については、「 ルートレス Podman コンテナーを使用する」を参照してください。

Microsoft Defender for Endpoint の Intune 展開の機能強化

Intune のエンドポイント検出と応答 (EDR) ポリシーを使用する場合に、Microsoft Defender にデバイスをオンボードするためのエクスペリエンス、ワークフロー、レポートの詳細を改善し、簡略化しました。 これらの変更は、Intune とテナント接続シナリオによって管理される Windows デバイスに適用されます。 これらの機能強化は次のとおりです。

• Defender EDR 展開番号の可視性を向上させるために、EDR ノード、ダッシュボード、レポートに対する変更。 「エンドポイントの検出と応答ノードについて」を参照してください。

• 適切な Windows デバイスへの Defender for Endpoint の展開を合理化する構成済みの EDR ポリシーを展開するための新しいテナント全体のオプション。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

• エンドポイント セキュリティ ノードの Intune の [概要] ページに対する変更。 これらの変更により、管理対象デバイス上の Defender for Endpoint からのデバイス信号のレポートが統合されたビューが提供されます。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

これらの変更は、管理センターのエンドポイント のセキュリティとエンドポイントの検出と応答のノードと、次のデバイス プラットフォームに適用されます。

• Windows 10
• Windows 11

Windows 品質更新プログラムでは、セキュリティ以外の更新プログラムの迅速化がサポートされます

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

• Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「 Microsoft Intune での Windows 品質更新プログラムの迅速化」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Cerby by Cerby, Inc.
• OfficeMail Go by 9Folders, Inc.
• DealCloud by Intapp, Inc.
• Intapp 2.0 by Intapp, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

変更の計画: Intune は iOS/iPadOS 16 以降をサポートするように移行しています

今年の後半には、Apple によって iOS 18 と iPadOS 18 がリリースされる予定です。 Intune ポータル サイトと Intune アプリ保護ポリシー (APP、MAM とも呼ばれます) を含む Microsoft Intune では、 iOS/iPadOS 18 リリースの直後に iOS 16/iPadOS 16 以降 が必要になります。

これは自分やユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS 16/iPadOS 16) にアップグレードできないデバイスがある可能性があります。

Microsoft 365 モバイル アプリが iOS 16/iPadOS 16 以降でサポートされていることを考えると、これは影響を受けない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。

iOS 16 または iPadOS 16 をサポートするデバイス (該当する場合) を確認するには、次の Apple ドキュメントを参照してください。

• サポートされている iPhone モデル
• サポートされている iPad モデル

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理 (MDM) を使用するデバイスの場合は、[ デバイス>すべてのデバイス と OS でフィルター処理する] に移動します。 アプリ保護ポリシーを持つデバイスの場合は、 Apps>Monitor>App protection の状態 に移動し、 プラットフォーム とプラットフォームの バージョン 列を使用してフィルター処理します。

組織内でサポートされている OS バージョンを管理するには、MDM と APP の両方で Microsoft Intune コントロールを使用できます。 詳細については、「Intune を使用したオペレーティング システムのバージョンの管理」を参照してください。

変更の計画: Intune は今年後半に macOS 13 以降をサポートするように移行しています

今年の後半には、MacOS 15 Sequoia が Apple によってリリースされる予定です。 Microsoft Intune、ポータル サイト アプリ、Intune モバイル デバイス管理エージェントは、macOS 13 以降をサポートするように移行します。 iOS および macOS 用のポータル サイト アプリは統合アプリであるため、この変更は macOS 15 のリリース直後に行われます。 これは、既存の登録済みデバイスには影響しません。

これは自分やユーザーにどのような影響を与えますか?

この変更は、Intune で macOS デバイスを現在管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Ventura がこれらのコンピューターと互換性がある」を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、macOS 12.x 以前を実行しているデバイスを組織内のユーザーを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: リモート ヘルプの Intune エンドポイントへの更新

2024 年 5 月 30 日以降、Windows、Web、macOS のリモート ヘルプのエクスペリエンスを向上させるために、リモート ヘルプのプライマリ ネットワーク エンドポイントを https://remoteassistance.support.services.microsoft.com から https://remotehelp.microsoft.com に更新します。

これは自分やユーザーにどのような影響を与えますか?

リモート ヘルプを使用していて、新しいエンドポイントの https://remotehelp.microsoft.comを許可しないファイアウォール規則がある場合、管理者とユーザーは、リモート ヘルプで接続の問題や中断が発生する可能性があります。

さらに、Windows 上のリモート ヘルプ アプリを最新バージョンに更新する必要があります。 macOS 用のリモート ヘルプ アプリとリモート ヘルプ Web アプリに対してアクションは必要ありません。

どのように準備できますか?

新しいリモート ヘルプ エンドポイント ( https://remotehelp.microsoft.com) を含むようにファイアウォール規則を更新します。 Windows のリモート ヘルプの場合、ユーザーは 最新バージョン (5.1.124.0) に更新する必要があります。 ほとんどのユーザーは自動更新をオプトインしており、ユーザーからの操作なしで自動的に更新されます。 詳細については、「 Windows 用リモート ヘルプのインストールと更新」を参照してください。

追加情報 :

• Microsoft Intune を使用した Windows でのリモート ヘルプ
• Microsoft Intune のネットワーク エンドポイント |Microsoft Learn

Android 用の最新のポータル サイト、iOS 用 Intune App SDK、および iOS 用 Intune アプリ ラッパーに更新する

2024 年 6 月 1 日から、Intune モバイル アプリケーション管理 (MAM) サービスを向上させるための更新が行われています。 この更新プログラムでは、アプリケーションが安全でスムーズに実行されるように、iOS でラップされたアプリ、iOS SDK 統合アプリ、Android 用ポータル サイトを最新バージョンに更新する必要があります。

Android の更新方法は、更新された SDK を持つ 1 つの Microsoft アプリケーションがデバイス上にあり、ポータル サイトが最新バージョンに更新されると、Android アプリが更新されることに注意してください。 そのため、このメッセージは iOS SDK/アプリ ラッパーの更新に焦点を当てています。 アプリがスムーズに実行されるように、常に Android アプリと iOS アプリを最新の SDK またはアプリ ラッパーに更新することをお勧めします。

これは自分やユーザーにどのような影響を与えますか?

サポートされている最新の Microsoft またはサード パーティのアプリ保護に更新されていないユーザーは、アプリの起動がブロックされます。 Intune ラッパーまたは Intune SDK を使用している iOS 基幹業務 (LOB) アプリケーションがある場合は、ユーザーがブロックされないように、Wrapper/SDK バージョン 17.7.0 以降を使用している必要があります。

どのように準備できますか?

2024 年 6 月 1 日より前に以下の変更を行う予定です。

• 古いバージョンの Intune SDK またはラッパーを使用する iOS 基幹業務 (LOB) アプリは、v17.7.0 以降に更新する必要があります。
  • Intune iOS SDK を使用するアプリの場合は、リリース 19.2.0 · msintuneappsdk/ms-intune-app-sdk-ios (github.com) を使用します
  • Intune iOS ラッパーを使用するアプリの場合は、リリース 19.2.0 · msintuneappsdk/intune-app-wrapping-tool-ios (github.com) を使用します
• iOS アプリを対象とするポリシーを持つテナントの場合:
  • 最新バージョンの Microsoft アプリにアップグレードする必要があることをユーザーに通知します。 アプリ ストアには、最新バージョンのアプリがあります。 たとえば、Microsoft Teamsの最新バージョンについては、 こちらの Microsoft Outlook をご覧ください。
  • さらに、次の 条件付き起動 設定を有効にするオプションがあります。
    • 最新のアプリをダウンロードできるように、iOS 15 以前を使用してユーザーに警告する 最小 OS バージョン 設定。
    • アプリが 17.7.0 より前の iOS 用 Intune SDK を使用している場合にユーザーをブロックする 最小 SDK バージョン 設定。
    • 古い Microsoft アプリでユーザーに警告を表示する 最小アプリバージョン 設定。 この設定は、対象アプリのみを対象とするポリシー内にある必要があることに注意してください。
• Android アプリを対象とするポリシーを持つテナントの場合:
  • ポータル サイト アプリの最新バージョン (v5.0.6198.0) にアップグレードする必要があることをユーザーに通知します。
  • さらに、次の 条件付き起動 デバイス条件設定を有効にするオプションがあります。
    • 5.0.6198.0 より前のポータル サイト アプリバージョンを使用してユーザーに警告する 最小 ポータル サイトバージョン設定。

変更の計画: 2024 年 5 月の Intune App SDK Xamarin バインディングのサポート終了

Xamarin Bindings のサポートが終了すると、Intune は Xamarin アプリと Intune App SDK Xamarin Bindings のサポートを 2024 年 5 月 1 日から終了します。

これは自分やユーザーにどのような影響を与えますか?

Xamarin でビルドされた iOS アプリや Android アプリがあり、Intune App SDK Xamarin Bindings を使用してアプリ保護ポリシーを有効にする場合は、アプリを .NET MAUI にアップグレードします。

どのように準備できますか?

Xamarin ベースのアプリを .NET MAUI にアップグレードします。 Xamarin のサポートとアプリのアップグレードの詳細については、次のドキュメントを参照してください。

• Xamarin サポート ポリシー | .NET
• Xamarin から .NET へのアップグレード |Microsoft Lear
• Microsoft Intune App SDK for .NET MAUI – Android |NuGet ギャラリー
• Microsoft Intune App SDK for .NET MAUI – iOS |NuGet ギャラリー

変更の計画: Microsoft Entra ID に登録されているアプリ ID を使用して PowerShell スクリプトを更新する

昨年、Microsoft Graph SDK ベースの PowerShell モジュールに基づく 新しい Microsoft Intune GitHub リポジトリ を発表しました。 従来の Microsoft Intune PowerShell サンプル スクリプト GitHub リポジトリが読み取り専用になりました。 さらに、 2024 年 5 月には、Graph SDK ベースの PowerShell モジュールの認証方法が更新されたため、グローバルな Microsoft Intune PowerShell アプリケーション (クライアント) ID ベースの認証方法が削除されます。

これは自分やユーザーにどのような影響を与えますか?

Intune PowerShell アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を使用している場合は、スクリプトが破損しないように Microsoft Entra ID 登録済みアプリケーション ID でスクリプトを更新する必要があります。

どのように準備できますか?

次の方法で PowerShell スクリプトを更新します。

1. Microsoft Entra 管理センターで新しいアプリ登録を作成する。 詳細な手順については、「 クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。
2. Intune アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を含むスクリプトを、手順 1 で作成した新しいアプリケーション ID で更新します。

詳細な手順については、「 powershell-intune-samples/更新アプリ登録 (github.com)」を参照してください。

2024 年 10 月にユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行

2024 年 10 月、Intune は次を含むユーザー ベースの管理方法で Android 10 以降をサポートする予定です。

• Android Enterprise の個人所有の仕事用プロファイル
• Android Enterprise の会社所有の仕事用プロファイル
• 完全に管理されている Android Enterprise
• Android オープン ソース プロジェクト (AOSP) ユーザー ベース
• Android デバイス管理者
• アプリ保護ポリシー (APP)
• マネージド アプリのアプリ構成ポリシー (ACP)

今後、Android の最新の 4 つのメジャー バージョンのみをサポートするまで、毎年 10 月に 1 つまたは 2 つのバージョンのサポートを終了します。 この変更の詳細については、 2024 年 10 月のユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行に関するブログを参照してください。

これは自分やユーザーにどのような影響を与えますか?

ユーザーベースの管理方法 (上記に示すように) の場合、Android 9 以前を実行している Android デバイスはサポートされません。 サポートされていない Android OS バージョンのデバイスの場合:

• Intune テクニカル サポートは提供されません。
• Intune では、バグや問題に対処するための変更は行われません。
• 新機能と既存の機能が機能することは保証されていません。

Intune では、サポートされていない Android OS バージョンでのデバイスの登録や管理は妨げられませんが、機能は保証されておらず、使用することは推奨されません。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

• ユーザーに警告またはブロックするための最小 OS バージョン要件を持つ APP の 条件付き起動 設定を構成します。
• デバイス コンプライアンス ポリシーを使用し、非準拠のアクションを設定して、非準拠としてマークする前にメッセージをユーザーに送信します。
• 登録 制限を 設定して、古いバージョンを実行しているデバイスでの登録を禁止します。

詳細については、「 Microsoft Intune を使用してオペレーティング システムのバージョンを管理する」を参照してください。

変更の計画: Web ベースのデバイス登録は、iOS/iPadOS デバイス登録の既定の方法になります

現在、iOS/iPadOS 登録プロファイルを作成するときに、"ポータル サイトでのデバイス登録" が既定の方法として表示されます。 今後のサービス リリースでは、プロファイルの作成時に既定の方法が "Web ベースのデバイス登録" に変更されます。 さらに、 新しい テナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

これは自分やユーザーにどのような影響を与えますか?

これは、既定の方法として "Web ベースのデバイス登録" を表示する新しい iOS/iPadOS 登録プロファイルを作成するときのユーザー インターフェイスの更新であり、既存のプロファイルは影響を受けません。 新しいテナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

どのように準備できますか?

必要に応じて、ドキュメントとユーザー ガイダンスを更新します。 現在、ポータル サイトでデバイス登録を使用している場合は、Web ベースのデバイス登録に移動し、SSO 拡張機能ポリシーをデプロイして JIT 登録を有効にすることをお勧めします。

追加情報:

• Microsoft Intune で Just-In Time 登録を設定する
• iOS 用の Web ベースのデバイス登録を設定する

Intune アプリ SDK を使用してラップされた iOS アプリと iOS アプリには、Azure AD アプリの登録が必要です

Intune モバイル アプリケーション管理 (MAM) サービスのセキュリティを強化するための更新プログラムを作成しています。 この更新プログラムでは、2024 年 3 月 31 日までに、iOS でラップされたアプリと SDK 統合アプリを Microsoft Entra ID (旧称 Azure Active Directory (Azure AD)) に登録して、MAM ポリシーを引き続き受け取る必要があります。

これは自分やユーザーにどのような影響を与えますか?

Azure AD に登録されていないアプリまたは SDK 統合アプリをラップしている場合、これらのアプリは MAM サービスに接続してポリシーを受け取ることができなくなり、ユーザーは登録されていないアプリにアクセスできなくなります。

どのように準備できますか?

この変更の前に、アプリを Azure AD に登録する必要があります。 詳細な手順については、以下を参照してください。

1. 次の手順に従って、アプリを Azure AD に登録します。 アプリケーションを Microsoft ID プラットフォームに登録します。
2. ここに記載されているように、カスタム リダイレクト URL をアプリ設定に追加します。
3. Intune MAM サービスへのアクセス権をアプリに付与する手順については、 こちらを参照してください。
4. 上記の変更が完了したら、アプリを Microsoft Authentication Library (MSAL) 用に構成します。
   1. ラップされたアプリの場合: ドキュメントで説明されているように、Intune アプリ ラッピング ツールを使用して Azure AD アプリケーション クライアント ID をコマンド ライン パラメーターに追加します。 iOS アプリを Intune アプリ ラッピング ツールでラップする |Microsoft Learn -ac と -ar は必須パラメーターです。 各アプリには、これらのパラメーターの一意のセットが必要です。 -aa は、シングル テナント アプリケーションにのみ必要です。
   2. SDK 統合アプリについては、「 Microsoft Intune App SDK for iOS 開発者ガイド」 を参照してください。 |Microsoft Learn。 ADALClientId と ADALRedirectUri/ADALRedirectScheme が必須パラメーターになりました。 ADALAuthority は、シングル テナント アプリケーションにのみ必要です。
5. アプリをデプロイします。
6. 上記の手順を検証するには:
   1. "com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration" アプリケーション構成ポリシーをターゲットにし、[有効] に設定します - Intune App SDK マネージド アプリの構成ポリシー - Microsoft Intune |Microsoft Learn
   2. アプリ保護ポリシーをアプリケーションにターゲットします。 [アクセスの職場または学校アカウントの資格情報] ポリシーを有効にし、[(非アクティブな分数) 後にアクセス要件を再確認する] 設定を 1 のような低い数値に設定します。
7. 次に、デバイスでアプリケーションを起動し、構成されたパラメーターを使用してサインイン (アプリの起動時に 1 分ごとに必要) が正常に行われるかどうかを確認します。
8. 他の手順を実行する前に手順 #6 と #7 のみを実行した場合、アプリケーションの起動時にブロックされる可能性があることに注意してください。 パラメーターの一部が正しくない場合も、同じ動作が見られます。
9. 検証手順が完了したら、手順 6 で行った変更を元に戻すことができます。

変更の計画: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに移行する

Microsoft では、お客様が macOS デバイスを Jamf Pro の条件付きアクセス統合からデバイス コンプライアンス統合に移行できるように、移行計画で Jamf と協力してきました。 デバイス コンプライアンス統合では、新しい Intune パートナー コンプライアンス管理 API が使用されます。これには、パートナー デバイス管理 API よりも簡単なセットアップが含まれており、macOS デバイスが Jamf Pro によって管理されている iOS デバイスと同じ API に移行されます。 Jamf Pro の条件付きアクセス機能が構築されているプラットフォームは、2024 年 9 月 1 日以降サポートされなくなります。

一部の環境のお客様は、最初に移行できないことに注意してください。詳細と更新については、「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用している場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 – Jamf Pro ドキュメント。

デバイス コンプライアンス統合が完了すると、一部のユーザーに Microsoft 資格情報の入力を求める 1 回限りのプロンプトが表示される場合があります。

どのように準備できますか?

該当する場合は、Jamf の指示に従って macOS デバイスを移行します。 ヘルプが必要な場合は、Jamf カスタマー サクセスにお問い合わせください。 詳細と最新の更新プログラムについては、ブログ記事「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

iOS/iPadOS 17 をサポートするように、最新の Intune App SDK と Intune App Wrapper for iOS に更新する

iOS/iPadOS 17 の今後のリリースをサポートするには、最新バージョンの Intune App SDK と iOS 用アプリ ラッピング ツールに更新して、アプリケーションが安全でスムーズに実行されるようにします。 さらに、条件付きアクセス許可 "アプリ保護ポリシーが必要" を使用している組織の場合、ユーザーは iOS 17 にアップグレードする前にアプリを最新バージョンに更新する必要があります。 詳細については、 ブログ「INTUNE App SDK、Wrapper、iOS アプリを MAM ポリシーを使用して iOS/iPadOS 17 をサポートする更新」を参照してください。

変更の計画: 2024 年 12 月に GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了する Intune

Google は非推奨になりました Android デバイス管理者の管理、管理機能の削除を続け、修正プログラムや機能強化は提供しなくなりました。 これらの変更により、Intune は 2024 年 12 月 31 日から Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了する予定です。 それまでは、Android 14 以前を実行しているデバイスでデバイス管理者の管理をサポートしています。 詳細については、 GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了する Microsoft Intune に関するブログを参照してください。

これは自分やユーザーにどのような影響を与えますか?

Intune が Android デバイス管理者のサポートを終了すると、GMS にアクセスできるデバイスは次の方法で影響を受けます。

1. ユーザーは Android デバイス管理者にデバイスを登録できません。
2. Intune では、新しい Android バージョンの変更に対処するためのバグ修正、セキュリティ修正、修正など、Android デバイス管理者の管理に変更や更新は行われません。
3. Intune テクニカル サポートは、これらのデバイスをサポートしなくなります。

どのように準備できますか?

Android デバイス管理者へのデバイスの登録を停止し、影響を受けるデバイスを他の管理方法に移行します。 Intune レポートを確認して、影響を受ける可能性のあるデバイスまたはユーザーを確認できます。 [デバイス>すべてのデバイスに移動し、OS 列を Android (デバイス管理者) にフィルター処理してデバイスの一覧を表示します。

推奨される代替 Android デバイス管理方法と、GMS にアクセスしないデバイスへの影響に関する情報については、 GMS アクセスを持つデバイスの Android デバイス管理者向けの Microsoft Intune 終了サポートに関するブログを参照してください。

変更の計画: ビジネスおよび教育機関向け Microsoft Store アプリのサポートを終了する

2023 年 4 月、Intune での Microsoft Store for Business エクスペリエンスのサポートを終了しました。 これはいくつかの段階で発生します。 詳細については、「ビジネスおよび教育機関向け Microsoft Store アプリを Intune の Microsoft Store に追加する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

ビジネスおよび教育機関向け Microsoft Store アプリを使用している場合:

1. 2023 年 4 月 30 日、Intune は Microsoft Store for Business サービスを切断します。 ビジネスおよび教育機関向け Microsoft Store アプリは Intune と同期できず、コネクタ ページは Intune 管理センターから削除されます。
2. 2023 年 6 月 15 日、Intune は、デバイス上のオンラインおよびオフラインの Microsoft Store for Business および Education アプリの適用を停止します。 ダウンロードしたアプリケーションは、サポートが制限されたデバイスに残ります。 ユーザーは引き続きデバイスからアプリにアクセスできますが、アプリは管理されません。 既存の同期済み Intune アプリ オブジェクトは、管理者が同期されたアプリとその割り当てを表示できるようにするために残ります。 さらに、Microsoft Graph API syncMicrosoftStoreForBusinessApps を使用してアプリを同期することはできません。また、関連する API プロパティには古いデータが表示されます。
3. 2023 年 9 月 15 日に、Microsoft Store for Business および Education アプリが Intune 管理センターから削除されます。 デバイス上のアプリは、意図的に削除されるまで保持されます。 Microsoft Graph API microsoftStoreForBusinessApp は、約 1 か月後に使用できなくなります。

ビジネスおよび教育機関向け Microsoft Store の廃止は 、2021 年に発表されました。 ビジネスおよび教育機関向け Microsoft Store ポータルが廃止されると、管理者は、同期された Microsoft Store for Business および Education アプリの一覧を管理したり、Microsoft Store for Business および Education ポータルからオフライン コンテンツをダウンロードしたりできなくなります。

どのように準備できますか?

Intune の新しい Microsoft Store アプリ エクスペリエンスを通じてアプリを追加することをお勧めします。 Microsoft Store でアプリを利用できない場合は、ベンダーからアプリ パッケージを取得し、基幹業務 (LOB) アプリまたは Win32 アプリとしてインストールする必要があります。 手順については、次の記事を参照してください。

• Microsoft Intune に Microsoft Store アプリを追加する
• Microsoft Intune に Windows 基幹業務アプリを追加する
• Microsoft Intune で Win32 アプリを追加、割り当て、および監視する

関連情報

• Windows 上の Microsoft Store と Intune との統合への更新
• エンドポイント管理の開梱: Intune でのアプリ管理の未来

変更の計画: Windows Information Protection のサポートを終了する

Microsoft Windows は、Windows Information Protection (WIP) のサポートを終了すると 発表しました 。 Microsoft Intune 製品ファミリは、WIP の管理と展開に関する今後の投資を中止する予定です。 将来の投資を制限することに加えて、2022 年の年末に 登録シナリオのない WIP のサポートを削除しました。

これは自分やユーザーにどのような影響を与えますか?

WIP ポリシーを有効にしている場合は、これらのポリシーをオフまたは無効にする必要があります。

どのように準備できますか?

WIP ポリシーによって保護されているドキュメントに組織内のユーザーがアクセスできないように、WIP を無効にすることをお勧めします。 詳しくは、「 サポート ヒント: Windows Information Protection のサポート 終了ガイダンス 」をご覧ください。デバイスから WIP を削除するための詳細とオプションについては、こちらをご覧ください。

変更の計画: Intune は、サポートされていないバージョンの Windows に対するポータル サイトのサポートを終了します

Intune は、サポートされている Windows 10 バージョンの Windows 10 ライフサイクルに従います。 現在、Modern Support ポリシーの対象外である Windows バージョン用の関連する Windows 10 ポータル サイトのサポートを削除しています。

これは自分やユーザーにどのような影響を与えますか?

Microsoft はこれらのオペレーティング システムをサポートしなくなったため、この変更による影響はない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。 この変更は、サポートされていない Windows 10 バージョンをまだ管理している場合にのみ影響します。

この変更が影響する Windows およびポータル サイトのバージョンは次のとおりです。

• Windows 10 バージョン 1507、ポータル サイト バージョン 10.1.721.0
• Windows 10 バージョン 1511、ポータル サイト バージョン 10.1.1731.0
• Windows 10 バージョン 1607、ポータル サイト バージョン 10.3.5601.0
• Windows 10 バージョン 1703、ポータル サイト バージョン 10.3.5601.0
• Windows 10 バージョン 1709、すべてのポータル サイト バージョン

これらのポータル サイトのバージョンはアンインストールしませんが、Microsoft Store から削除し、サービス リリースのテストを停止します。

サポートされていないバージョンの Windows 10 を引き続き使用すると、ユーザーは、最新のセキュリティ更新プログラム、新機能、バグ修正、遅延の改善、アクセシビリティの改善、およびパフォーマンスへの投資を利用できなくなります。 System Center Configuration Manager と Intune を使用してユーザーを共同管理することはできません。

どのように準備できますか?

Microsoft Intune 管理センターで、 検出されたアプリ 機能を使用して、これらのバージョンのアプリを検索します。 ユーザーのデバイスでは、ポータル サイトのバージョンがポータル サイトの [設定] ページに表示されます。 サポートされている Windows およびポータル サイトのバージョンに更新します。