展開ガイド: Microsoft Intune で Linux デバイスを管理する
このガイドでは、次の方法を含め、Microsoft Intune を使用して Linux アプリとエンドポイントを保護および管理するために必要なすべてのことを説明します。
- デバイス登録用にテナントを準備します。
- Linux デバイス コンプライアンス ポリシーを作成します。
- カスタム コンプライアンス設定を追加します。
- Microsoft Edge で条件付きアクセス ポリシーを適用します。
- デスクトップを登録する従業員と学生をサポートします。
このガイドの各セクションで、関連するタスクを確認します。 一部のタスクは必須であり、条件付きアクセスの設定など、一部のタスクは省略可能です。 各セクションで提供されているリンクを選択して、Microsoft Learn の推奨されるヘルプ ドキュメントに移動します。詳細な情報と方法に関する手順を確認できます。
手順 1: 前提条件
Microsoft Intune、Microsoft Entra ID、Microsoft Edge は、Linux デスクトップ管理の機能を強化します。 Microsoft Intune は、デバイスの管理機能とコンプライアンス機能を強化します。 Microsoft Entra ID は、Microsoft Intune コンプライアンス ポリシーと共に使用される条件付きアクセスに力を与えます。 Microsoft Edge は、Microsoft 365 Web アプリへの保護されたアクセスを提供するために使用される Web ブラウザー アプリです。
テナントのエンドポイント管理機能を有効にするには、Intune 管理者として次の前提条件を満たします。
Microsoft Intune のロールとアクセス許可の詳細については、「 Microsoft Intune を使用した RBAC」を参照してください。 Microsoft Entra グローバル管理者ロールと Intune 管理者 ロールには、Microsoft Intune 内で完全な権限があります。 グローバル管理者には、Microsoft Intune の多くのデバイス管理タスクに必要以上のアクセス許可があります。 タスクを完了するために必要な最小限の特権ロールを使用することをお勧めします。 たとえば、デバイス登録タスクを完了できる最小限の特権ロールは、組み込みの Intune ロールである Policy and Profile Manager です。
組織の準備、オンボード、またはモバイル デバイス管理のために Intune を採用する方法の詳細と推奨事項については、 Intune セットアップ展開ガイドを参照してください。
手順 2: デプロイの計画
Microsoft Intune 計画ガイドを使用して、デバイス管理の目標、ユースケース シナリオ、および要件を定義します。 これは、ロールアウト、通信、サポート、テスト、および検証の計画にも役立ちます。 たとえば、従業員や学生がデバイスを登録するときにそこにいる必要がないため、ポータル サイトと Microsoft Edge のインストールと使用に関する情報を見つける場所をユーザーが把握できるように、コミュニケーション プランを用意することをお勧めします。
手順 3: デバイス コンプライアンス ポリシーを作成する
デバイス コンプライアンス ポリシーを作成して、データにアクセスする Linux デバイスがセキュリティで保護され、組織の標準を満たしていることを確認します。 登録プロセスの最終段階はコンプライアンス評価であり、デバイスの設定がポリシーを満たしていることを確認します。 デバイス ユーザーは、保護されたリソースにアクセスするために、すべてのコンプライアンスの問題を解決する必要があります。 Intune では、コンプライアンス要件に満たされていないデバイスを 非準拠 としてマークし、コンプライアンス違反の構成に対するアクションに従って追加の アクション (ユーザーに通知の送信、アクセスの制限、デバイスのワイプなど) を実行します。
Linux ディストリビューションの種類、バージョン、デバイス暗号化、またはパスワードの複雑さに基づいて、デバイス コンプライアンス ポリシーを適用できます。 Linux で使用可能なすべてのコンプライアンス設定は、Microsoft Intune 設定カタログに含まれます。 Microsoft Entra 条件付きアクセス ポリシーをデバイス コンプライアンス ポリシーと組み合わせて使用して、Microsoft Edge の Microsoft 365 Web アプリへのアクセスを制御できます。 たとえば、従業員が最初にデバイスを登録またはセキュリティで保護せずに Edge のMicrosoft Teamsにアクセスしようとすると、サインインできなくなります。
ヒント
デバイス コンプライアンス ポリシーの概要については、「 コンプライアンスの概要」を参照してください。
| タスク | 詳細 |
|---|---|
| デバイスのコンプライアンス ポリシーを作成する | Linux デバイスのデバイス コンプライアンス ポリシーを作成して割り当てる方法に関する詳細なガイダンスを取得します。 |
| カスタム コンプライアンス設定を追加する | カスタム コンプライアンス設定では、Microsoft Intune に組み込まれているデバイス コンプライアンス オプションにまだ含まれていないコンプライアンス シナリオに対処するために、独自の Bash スクリプトを記述できます。 この記事では、Linux デバイスのカスタム コンプライアンス ポリシーを作成、監視、トラブルシューティングする方法について説明します。 カスタム コンプライアンス設定では、設定と値のペアを識別する カスタム スクリプトを作成 する必要があります。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 アクションの例としては、アラートの送信、デバイスのリモート ロック、デバイスの廃止などがあります。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイス ベースまたはアプリベースの条件付きアクセス ポリシーを作成する | Linux 用 Microsoft Edge ブラウザーで Microsoft 365 Web アプリを保護し、アクセスを許可する条件付きアクセス ポリシーを設定します。 条件付きアクセスは、非準拠デバイスが Edge で保護された作業アプリにアクセスできないようにブロックし、準拠しているデバイスへのアクセスを許可します。 Linux デバイスを操作するには、条件付きアクセス用のデバイス コンプライアンス ポリシーが必要です。 |
手順 4: デバイスを登録する
登録は、次を実行している Linux デスクトップでサポートされています。
- Ubuntu LTS、バージョン 22.04 または 20.04。
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Intune ライセンスを割り当てられた従業員は、必要なときにいつでも個人用 Linux デバイスを Microsoft Intune に登録できます。 登録中、デバイスは Microsoft Entra ID に登録され、コンプライアンスが評価されます。 Edge に条件付きアクセス ポリシーを適用した場合、ユーザーは自分の職場アカウントで Microsoft 365 Web アプリにアクセスする前に、デバイスの登録を求められます。
Intune 管理者は、「 前提条件」で説明されている以外に、従業員の登録を有効にするために何もする必要はありません。 ただし、登録中にガイダンスが必要な場合に備えて、ヘルプ リソースを提供することが重要です。
ヒント
デバイスの暗号化が必要な場合は、デバイス登録の前に従業員に通知して、可能な場合は OS のインストール中にデバイスの暗号化を選択できるようにします。 OS のインストール後にデバイスを暗号化するよりも簡単で高速です。 さらに、組織のオペレーティング システム要件とパスワードの複雑さの要件を Web サイトやオンボードメールで簡単に見つけられるようにして、従業員がその情報を探すために登録を遅らせる必要がないようにします。
| タスク | 詳細 |
|---|---|
| Linux 用 Microsoft Intune アプリをインストールする | 従業員は、登録のために個人用デバイスに Microsoft Intune アプリをインストールする必要があります。 この記事では、ターミナル アプリで Linux 用 Microsoft Intune アプリをインストール、更新、削除する方法について説明します。 |
| Microsoft Edge Web ブラウザーをインストールする) | 保護された Web サイトやファイルにアクセスするには、従業員に Microsoft Edge Web ブラウザーバージョン 102 が必要です。X 以降。 デバイスを登録した後、従業員は職場アカウントで Microsoft Edge にサインインし、Web サイトやファイルにアクセスできます。 |
| Intune に Linux デバイスを登録する | この記事はデバイス ユーザー向けであり、Microsoft Intune アプリでデバイスを登録する方法について説明し、システム要件、前提条件、次の手順について説明します。 この手順では、Microsoft Intune によってデバイスが Microsoft Entra ID に登録され、Intune にデバイス レコードが作成されます。 登録が完了すると、デバイスコンプライアンスチェックが開始されます。 |
| デバイスの状態を確認し、コンプライアンスの問題を解決する | この記事はデバイス ユーザー向けであり、Microsoft Intune アプリでコンプライアンスの問題を解決する方法について説明します。 コンプライアンス チェックは、登録中に行われ、その後、デバイスが Intune でチェックインされるときに行われます。 Intune アプリは、デバイスに非準拠の設定があるときに従業員に通知します。 Intune では、デバイスのコンプライアンスと条件付きアクセス ポリシーを使用して、コンプライアンスと非準拠に対するアクションを決定します。 |
次の手順
Intune を移動して使用する方法に関するチュートリアルについては、「 Intune 管理センターのチュートリアル 」を参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
Linux デスクトップ管理に関する最新情報とブログについては、 Microsoft Tech Community をご覧ください。
このガイドの他のバージョンについては、以下を参照してください。