Microsoft Intune の展開の概要

Microsoft Intune は、デバイスとアプリの管理に役立つクラウドベースのサービスです。 Microsoft Intune が組織に対して実行できる操作の詳細については、「 Microsoft Intune とは」を参照してください。

この記事では、Intune の展開を開始する手順の概要について説明します。

開始する前に

• Intune の展開を計画するには、 計画ガイドを使用して Microsoft Intune に移動します。 個人のデバイス、ライセンスに関する考慮事項、ロールアウト 計画の作成、ユーザーへの変更の伝達などについて説明します。

  次の記事は、適切なリソースです。

  • クラウドネイティブ エンドポイントへの移行
  • Microsoft Intune に移行するための計画ガイド
  • 展開ガイド: Microsoft Intune のセットアップまたは移行
  • Microsoft Intune の基礎オンライン トレーニング。

• Intune の展開に必要なライセンスとその他の前提条件を決定します。 次の一覧では、最も一般的な前提条件をいくつか示します。

  • Intune サブスクリプション: 一部の Microsoft 365 サブスクリプションに含まれています。 また、デバイス、アプリ、ユーザーを管理するための Web ベースのコンソールである Microsoft Intune 管理センターにもアクセスできます。

  • Microsoft 365 アプリ: Microsoft 365 に含まれ、Outlook や Teams などの生産性アプリに使用されます。

  • Microsoft Entra ID: Microsoft Entra ID は、ユーザー、グループ、デバイスの ID 管理に使用されます。 Intune サブスクリプションと、場合によっては Microsoft 365 サブスクリプションが付属しています。

    Microsoft Entra ID P1 または P2 は余分なコストがかかる可能性があり、条件付きアクセス、多要素認証 (MFA)、動的グループなど、組織で一般的に使用されるより多くの機能を提供します。

  • Windows Autopilot: 一部の Microsoft 365 サブスクリプションに含まれています。 Windows Autopilot では、現在サポートされているバージョンの Windows クライアント デバイスに対する最新の OS 展開が提供されます。

  • プラットフォーム固有の前提条件: デバイスのプラットフォームによっては、その他の要件があります。

    たとえば、iOS/iPadOS デバイスと macOS デバイスを管理する場合は、Apple MDM プッシュ証明書と場合によっては Apple トークンが必要です。 Android デバイスを管理する場合は、管理対象の Google Play アカウントが必要になる場合があります。 証明書認証を使用する場合は、SCEP または PKCS 証明書が必要になる場合があります。

    詳細については、次を参照してください:

    • Android 登録のデプロイ ガイド
    • iOS/iPadOS 登録デプロイ ガイド
    • macOS 登録デプロイ ガイド
    • Windows 登録の展開ガイド

手順 1 - Intune を設定する

この手順では、次の手順を実行します。

✔️ デバイスがサポートされていることを確認し、Intune テナントを作成し、グループ & ユーザーを追加し、ライセンスを割り当てます。

この手順では、Intune を設定し、ユーザー ID、アプリ、デバイスを管理するための準備をすることに重点を置いています。 Intune では、ドメイン、ユーザー、グループなど、Microsoft Entra ID の多くの機能が使用されます。

詳細については、「 手順 1 - Microsoft Intune を設定する」を参照してください。

手順 2 - アプリを追加して保護する

この手順では、次の手順を実行します。

✔️ Intune に 登録するデバイスで 、デバイスに必要なアプリのベースラインを作成し、登録中にこれらのアプリ ポリシーを割り当てます。 追加のセキュリティが必要なアプリでは、アプリ保護ポリシーも使用します。

✔️ Intune に 登録しないデバイスでは 、アプリ保護ポリシーと多要素認証 (MFA) を使用します。

• アプリ保護ポリシーは、個人のデバイス上の組織データを保護するのに役立ちます。
• MFA は、承認されていないアクセスから組織のデータを保護するのに役立ちます。

詳細については、「 手順 2 - Intune を使用してアプリを追加、構成、保護する」を参照してください。

すべての組織には、デバイスにインストールする必要があるアプリの基本セットがあります。 ユーザーがデバイスを登録する前に、Intune を使用してこれらのアプリをデバイスに割り当てることができます。 登録中に、アプリ ポリシーが自動的にデプロイされます。 登録が完了すると、アプリがインストールされ、使用する準備が整います。

必要に応じて、デバイスを登録し、アプリを割り当てることができます。 それはあなたの選択です。 次回ユーザーが新しいアプリを確認すると、使用可能な新しいアプリが表示されます。

個人のデバイスを持つユーザーが組織のリソースにアクセスする場合は、少なくともモバイル アプリケーション管理 (MAM) を使用して組織データにアクセスするアプリを保護する必要があります。 Outlook、Teams、SharePoint、およびその他のアプリの MAM ポリシーを作成できます。 Microsoft Intune 計画ガイドには、個人用デバイスの管理に関するいくつかのガイダンスがあります。

手順 3 - コンプライアンスを確認し、条件付きアクセスを有効にする

この手順では、次の手順を実行します。

✔️ デバイス に必要なコンプライアンス ポリシーのベースラインを作成 し、登録中にこれらのコンプライアンス ポリシーを割り当てます。

✔️ 条件付きアクセスを有効 にして、コンプライアンス ポリシーを適用します。

詳細については、「 手順 3 – コンプライアンス ポリシーの計画」を参照してください。

Intune などの MDM ソリューションでは、デバイスが満たす必要があるルールを設定し、これらのルールのコンプライアンス状態を報告できます。 これらの規則はコンプライアンス ポリシーと呼ばれます。 コンプライアンス ポリシーと条件付きアクセスを組み合わせる場合は、組織のデータにアクセスする前に、特定のセキュリティ要件を満たすデバイスを要求できます。

ユーザーが Intune にデバイスを登録すると、登録プロセスでコンプライアンス ポリシーを自動的に展開できます。 登録が完了すると、管理者はコンプライアンスの状態を確認し、ルールを満たしていないデバイスの一覧を取得できます。

必要に応じて、コンプライアンスを確認する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックイン時に、コンプライアンス ポリシーが割り当てられます。

手順 4 - デバイス機能を構成する

この手順では、次の手順を実行します。

✔️ 有効またはブロックする必要がある セキュリティ機能とデバイス機能のベースラインを作成 します。 登録中にこれらのプロファイルを割り当てます。

詳細については、「 手順 4 - デバイス構成プロファイルを作成してデバイスをセキュリティで保護し、組織のリソースにアクセスする」を参照してください。

組織は、構成する必要がある、またはブロックする必要があるデバイスとセキュリティ機能の基本セットを持つことができます。 これらの設定は、デバイス構成とエンドポイント セキュリティ プロファイルに追加されます。 Microsoft では、登録時にキー セキュリティとデバイス構成ポリシーを割り当てることをお勧めします。 登録が開始されると、デバイス構成プロファイルが自動的に割り当てられます。 登録が完了すると、これらのデバイスとセキュリティ機能が構成されます。

必要に応じて、構成プロファイルを作成する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックイン時に、プロファイルが割り当てられます。

Microsoft Intune 管理センターでは、デバイス プラットフォーム (Android、iOS/iPadOS、macOS、Windows) に基づいてさまざまなプロファイルを作成できます。

次の記事は、適切なリソースです。

• デバイス プロファイルを使用してデバイスに機能と設定を適用する
• 設定カタログを使用して設定を構成する
• Microsoft Intune でエンドポイント セキュリティの管理
• Windows セキュリティ ベースライン

手順 5 - デバイスを登録する

この手順では、次の手順を実行します。

✔️ Intune にデバイスを登録します 。

詳細については、「 手順 5 - 展開ガイダンス: Microsoft Intune にデバイスを登録する」を参照してください。

デバイスを完全に管理するには、デバイスを Intune に登録して、条件付きアクセス ポリシー、アプリ ポリシー、デバイス構成ポリシー、および作成したセキュリティ ポリシー & コンプライアンスを受け取る必要があります。 管理者は、ユーザーとデバイスの登録ポリシーを作成します。 各デバイス プラットフォーム (Android、iOS/iPadOS、Linux、macOS、および Windows) には、さまざまな登録オプションがあります。 環境、シナリオ、デバイスの使用方法に最適なものを選択します。

選択した登録オプションに応じて、ユーザーは自分自身を登録できます。 または、登録を自動化して、ユーザーが自分の組織アカウントを使用してデバイスにサインインするだけで済みます。

デバイスが登録されると、デバイスにはセキュリティで保護された MDM 証明書が発行されます。 この証明書は Intune サービスと通信します。

プラットフォームによって登録要件が異なります。 次の記事は、プラットフォーム固有のガイダンスなど、デバイス登録の詳細を確認するのに役立ちます。

• Intune へのデバイスの登録とは
• Microsoft Intune の登録済みデバイス管理機能
• 展開ガイダンス: Microsoft Intune でデバイスを登録する
  • デプロイ ガイド: Android デバイスを登録する
  • 展開ガイド: iOS/iPadOS デバイスを登録する
  • デプロイ ガイド: Linux デスクトップ デバイスを登録する
  • 展開ガイド: macOS デバイスを登録する
  • 展開ガイド: Windows デバイスを登録する

Configuration Manager を使用したクラウド アタッチ

Microsoft Configuration Manager は、オンプレミスの Windows Server、デバイス、アプリ、データを保護するのに役立ちます。 クラウドとオンプレミスのエンドポイントの組み合わせを管理する必要がある場合は、Configuration Manager 環境を Intune にクラウド接続できます。

Configuration Manager を使用する場合は、オンプレミスデバイスをクラウドに接続するための 2 つの手順があります。

1. テナントアタッチ: Configuration Manager の展開に Intune テナントを登録します。 Configuration Manager デバイスは 、Microsoft Intune 管理センターに表示されます。 これらのデバイスでは、アプリのインストールや、Web ベースの Intune 管理センターを使用した Windows PowerShell スクリプトの実行など、さまざまなアクションを実行できます。

2. 共同管理: Configuration Manager と Microsoft Intune を使用して Windows クライアント デバイスを管理します。 Configuration Manager は一部のワークロードを管理し、Intune は他のワークロードを管理します。

   たとえば、Configuration Manager を使用して Windows 更新プログラムを管理したり、Intune を使用して条件付きアクセス ポリシー & コンプライアンスを管理したりできます。

現在 Configuration Manager を使用している場合は、テナントアタッチを通じて即時の値を取得し、共同管理を通じてより多くの価値を得ることができます。

組織に適した Microsoft Intune のセットアップに関するガイダンスについては、「 展開ガイド: Microsoft Intune のセットアップまたは移行」を参照してください。

次の手順

• 手順 1 - Microsoft Intune を設定する
• 手順 2 - Intune でアプリを追加、構成、保護する
• 手順 3 – コンプライアンス ポリシーを計画する
• 手順 4 - デバイスの機能と設定を構成してデバイスをセキュリティで保護し、組織のリソースにアクセスする
• 手順 5 - 展開ガイダンス: Microsoft Intune にデバイスを登録する