Microsoft 365 Basic Mobility and Security から Intune への移行

  • [アーティクル]

Microsoft 365 には、デバイスを保護し、Outlook などの Microsoft 365 アプリを保護する基本的なポリシー セットが含まれています。 これらのポリシーは Microsoft Defender ポータルで管理され、 Basic Mobility and Security と呼ばれます。 Basic Mobility と Security の提供内容の詳細については、「 Basic Mobility and Security の機能」を参照してください。

多くの組織では、より多くのまたは次のレベルのデバイス管理機能が必要です。 具体的には、Microsoft Intune に含まれている機能が必要です。 機能の比較については、「 Basic Mobility and Security または Intune のいずれかを選択する」を参照してください。

Basic Mobility and Security から Microsoft Intune に移行できます。 Intune への移行には、次の主要な手順が必要です。

  1. 準備:

    移行を効率化するには、Intune のライセンス、基本的なモビリティとセキュリティ ポリシー、グループ メンバーシップ、デバイスを確認します。

  2. 既存のポリシーを評価して移行します

    Microsoft Intune 管理センター移行評価を使用します。 出力には、Basic Mobility ポリシーとセキュリティ ポリシーを置き換える Intune ポリシーとグループの推奨事項が表示されます。

  3. ポリシーを割り当て、移行を完了します

    ユーザーまたはグループにライセンスを割り当てます。これにより、次回の更新サイクルでユーザーが Intune デバイス管理に自動的に切り替わります。

この記事は、モバイル デバイス管理 (MDM) を Microsoft 365 Basic Mobility and Security から Microsoft Intune に移行するのに役立ちます。

開始する前に

  • Intune 管理センターにサインインするときは、Microsoft Entra ライセンス管理者権限を持つアカウントを使用します。 このロールの詳細については、「 Microsoft Entra 組み込みロール - ライセンス管理者」を参照してください。

  • デバイスが Basic Mobility and Security に登録されているテスト ユーザー グループで、この記事の手順をテストします。 ポリシーが期待どおりに動作することを確認します。

  • Intune に移行すると、Basic Mobility とセキュリティを使用してデプロイされた既存のデバイス セキュリティ ポリシーは完全に凍結されます。

  • Intune ライセンスを割り当てることは、移行プロセスに影響します。 ライセンスの割り当てにより、基本的なモビリティとセキュリティから Intune へのデバイスの移行を制御します。

    Intune ライセンスが既に割り当てられているユーザーは、ポリシーの受信をすぐに開始できます。場合によっては、予想よりも早くポリシーを受け取ることができます。 Basic Mobility and Security が以前にユーザーまたはデバイスを管理していなかった場合でも、ポリシーが発生する可能性があります。

    この動作を回避する場合は、移行前に Intune ライセンスの割り当てを解除できます。 ポリシーをデプロイするタイミングを管理するのに役立つ個別のグループを作成することもできます。

    • グループ 1: Intune ライセンスが既に割り当てられているユーザー
    • グループ 2: Intune ライセンスが割り当てされていないユーザー

    その後、移行された Basic Mobility と Security デバイスのセキュリティ ポリシーを、Intune ライセンスが割り当てられていないユーザーに割り当てることができます。

手順 1 - 準備

Basic Mobility and Security デバイス管理から Intune デバイス管理に移行する前に、次の手順を実行します。

  1. Basic Mobility and Security によって管理されているすべてのユーザーをカバーするのに十分な Intune ライセンス があることを確認します。

  2. Microsoft Defender ポータルで デバイス セキュリティ ポリシー を確認します。 不要になったポリシーを削除します。 不要なポリシーを削除すると、Intune 移行評価によって作成される推奨事項の数が減ります。 移行の評価後に確認する推奨事項を減らします。

  3. 現在デバイス セキュリティ ポリシーが割り当てられている グループのメンバーシップ を確認します。

    これらのグループに Intune のライセンスが既に付与されているユーザーが含まれている場合は、予想よりも早くポリシーを割り当てることができます。 既存の Intune ライセンスの影響の詳細については、 開始する前 に (この記事の) を参照してください。

  4. 基本的なモビリティとセキュリティに現在登録されているデバイスの種類を確認します。 サポートされていない OS のバージョンとバリアント は引き続き機能する可能性がありますが、Intune に移行された場合はサポートされません。

    サポートされていないオペレーティング システムに適用された設定は Intune に移動されません。 また、ユーザーが Intune のライセンスを既に持っている場合、デバイスは Microsoft Defender ポータルのデバイス セキュリティ ポリシーによって設定された構成を失います。

  5. 移行前:

    • デバイスが Basic Mobility and Security によって管理されているユーザーに Intune ライセンスを割り当てないでください。
    • アプリ保護ポリシー (モバイル アプリケーション管理 (MAM) とも呼ばれる) を有効にするために Intune ライセンスを割り当てないでください。

    ポリシーの移行が完了した後にのみ、Intune ライセンスをユーザーに割り当てます。 Intune ライセンスの影響の詳細については、 開始する前 に (この記事の) を参照してください。

  6. Basic Mobility ポリシーとセキュリティ ポリシーを置き換えるために、新しい Intune ポリシーを作成する必要がある場合があります。 ポリシーの最小基本セットの詳細については、「 Intune の概要」を参照してください。

移行評価プロセスがアクティブ化された後、Microsoft Defender ポータルでデバイスのセキュリティ ポリシーを変更することはできません。 既存の Basic Mobility ポリシーとセキュリティ ポリシーは引き続き適用されますが、これらの既存のポリシーに対する変更は保存されません。

重要

次のいずれかの製品またはサービスがある場合は、続行する前にサポート チームにお問い合わせください。

  • Enterprise Mobility + Security A3 for Faculty
  • Enterprise Mobility + Security A3 for Students
  • Enterprise Mobility + Security A3 for Students 使用特典
  • Enterprise Mobility + Security A5 for Faculty
  • Enterprise Mobility + Security A5 for Students
  • Enterprise Mobility + Security A5 for Students 使用特典
  • Intune for Education
  • Intune for Education アドオン
  • Microsoft Intune for Education for Faculty
  • Microsoft Intune for Education for Student
  • Microsoft Intune for Education Prepaid Device

手順 2 - 既存のポリシーを評価して移行する

ライセンスを準備し、「 手順 1 - 準備」の情報を確認したら、 Microsoft Intune 管理センターの移行評価 を使用して Intune ポリシーの推奨事項を取得します。

このツールでは、コンプライアンス ポリシーとデバイス構成プロファイルとして、既存の Basic Mobility および Security デバイス セキュリティ ポリシーを Intune に移行できます。 また、新しいポリシーを割り当てる必要があるグループに関する推奨事項も作成します。

これらの Intune の推奨事項は、基本的なモビリティとセキュリティ ポリシーをレプリケートするように設計されています。 これらの推奨事項を確認して、 古いポリシーが反映されていることを確認する必要があります。

基本モビリティとセキュリティから Intune にポリシーを評価して移行するには:

  1. 「手順 1 - 準備」セクション (この記事の) の手順を完了します。

  2. [移行の評価] を開き>[開始] を選択します。 評価を完了するには数分かかります。

    注:

    • 移行評価から離れた場合に戻る唯一の方法は、 移行評価 リンクを再度開く方法です。
    • 移行評価を開始した後は、Microsoft Defender ポータルで新しいデバイス セキュリティ ポリシーを作成したり、既存のデバイス セキュリティ ポリシーを編集したりすることはできません。

  3. [推奨]を選択します。

    このページには、基本的なモビリティとセキュリティ ポリシーに基づく Intune ポリシーの推奨事項が表示されます。 推奨事項は読み取り専用であり、変更することはできません。

    各推奨事項の名前には、基本的なモビリティとセキュリティのポリシー名に基づいたプレフィックスが付いています。 次の例のように、一覧の各項目を確認する必要があります。

    Microsoft 365 Basic Mobility and Security ポリシーを Intune に移行した後の Microsoft Intune 管理センターでの移行評価例のスクリーンショット

    • すべてのデバイス設定が Intune の設定と値に正確に対応しているわけではありません。 そのため、1 対 1 の正確なマッピングでは移動できません。 これらの設定を確認して調整する必要があります。
    • Office 365 サービスを制御する条件付きアクセス (CA) 設定は、Microsoft Entra ID の CA ポリシーと同じです。 そのため、必要な場合を除き、それらを確認したり変更したりする必要はありません。

  4. リストからアイテムを選択します。 [ コンプライアンス ポリシーの推奨事項の概要 ] ページが開きます。 手順を確認します。

  5. [ 詳細] を選択して、推奨される設定とグループの割り当てを確認します。

    Microsoft 365 Basic Mobility and Security ポリシーを Intune に移行した後の Microsoft Intune 管理センターの詳細ページの例のスクリーンショット

    このページのポリシーの推奨事項は、使用する推奨設定と割り当てを文書化した読み取り専用レポートです。 まだ Intune ポリシーではありません。

    推奨事項を確認する際は、次の点に注意してください。

    • 推奨事項に記載されているグループに既に Intune ポリシーが割り当てられている場合、これらのポリシーは推奨設定と競合する可能性があります。 Intune での競合の処理方法については、「 Microsoft Intune のデバイス ポリシーとプロファイルに関する一般的な質問と回答」を参照してください。

      注:

      移行したメール プロファイルに変更を加えたり、推奨されるグループに割り当てなかったりした場合、デバイスが Intune に移行するときに、ユーザー名とパスワードを再入力してデバイス上のメールにアクセスするように求められる場合があります。 詳細については、 構成のポリシー マッピングに関するページを参照してください

    • 推奨されるグループに Intune ライセンスを持つユーザーが既にある場合は、推奨されるポリシーがこれらのユーザーに適していることを確認します。 これらのグループにポリシーを割り当てると、グループ内のすべての Intune ライセンス ユーザーは、Basic Mobility and Security によって以前に管理されていないユーザーであっても、ポリシーを受け取ります。

      注:

      Windows オペレーティング システムの場合、ポリシーが移行されるのは Windows 10/11 デスクトップ デバイスのみです。 他のバージョンの Windows では、ポリシーは移行されません。 詳細については、「アクセス要件のポリシー マッピング」と「構成のポリシー マッピング」を参照してください。

  6. 推奨されるポリシーを実装する場合は、[ポリシーを 開く] を選択します。 ポリシー ページが開き、Intune ポリシーが作成されます。 移行されたポリシーを変更または更新できます。

    注:

    ポリシーを削除した場合、推奨事項ページの [ポリシーを開く ] リンクは機能しません。

この時点で、ポリシーは作成されますが、まだ何も行っていません。 次の手順では、推奨されるグループまたは選択した他のグループにポリシーを割り当てます。

手順 3 - ポリシーを割り当てて移行を完了する

ポリシーが作成されたら、割り当てる準備が整います。 この移行を完了するには、グループの割り当て、共存の有効化、Intune ライセンスの割り当ての 3 つすべてが完了している必要があります。

  1. 推奨されるグループをポリシーに割り当てます 。 [ポリシー>プロパティ開く>割り当ての横にある [編集] を選択>、割り当てワークフローを使用してグループを割り当てます。

    グループを割り当てると、新しく移行された Intune ポリシーによって、Basic Mobility and Security で構成されているデバイス設定が置き換えられます。 グループを割り当てない場合、Basic Mobility and Security によって管理されているデバイスは、ユーザーが Intune のライセンスを取得したときに設定と電子メールの構成が失われる可能性があります。 Intune ライセンスの割り当ては、Basic Mobility and Security から Intune デバイス管理へのデバイスの移行における重要な手順です。

    既存の Intune ライセンスの影響の詳細については、 開始する前 に (この記事の) を参照してください。

  2. Microsoft Entra License 管理者権限を使用して Microsoft Intune 管理センターにサインインします。

  3. 共存を有効にします。 有効な場合:

    • 既存の Intune ライセンスを持つユーザーはすぐに Intune に移動され、新しく移行されたポリシーは次の Intune 更新サイクルで適用されます。
    • Intune ライセンスを持たないユーザーの場合、共存は移行プロセスの 2 番目の手順です。 次の手順で Intune に移動します。

  4. Intune ライセンスを持たないユーザーの場合は、移行するユーザーに Intune ライセンスを割り当てます 。 次のようなオプションがあります:

    Intune でライセンスを割り当てる方法の詳細については、「 ユーザーにライセンスを割り当てて Intune にデバイスを登録できるようにする」を参照してください。

この時点で、主要な手順は完了です。

  1. ポリシーはグループに割り当てられます。
  2. 共存は Intune で有効になっています。
  3. Intune のライセンスが割り当てられている。

次の Intune デバイス更新サイクルでは、デバイスは自動的に Intune 管理に切り替わります。新しいポリシーがユーザー デバイスに影響を与え始めます。

私は何をしましたか?

このセクションでは、Basic Mobility and Security から Intune に移行する場合のバックグラウンドでの動作について説明します。

既知の問題

[開始] ボタンが常に表示される

Microsoft Intune 管理センター移行評価を開くたびに、評価が既に生成されている場合でも、[スタート] ボタンが表示されます。 [スタート] プロンプトを閉じると、以前に生成された推奨事項は読み込まれません。

回避策: 評価をもう一度開始します。 推奨事項やポリシーを作成したり、重複したりすることはありません。 移行を再実行すると、評価が既に成功したことが検出され、前の推奨事項が読み込まれます。

デバイスがワイプされるまでのサインイン エラーの数設定が移行されない

[ デバイスがワイプされるまでのサインイン エラーの数 ] 設定は Intune に移行されません。

回避策: この設定が Basic Mobility and Security ポリシーで有効になっている場合は、この設定を Intune デバイス構成プロファイルに手動で追加する必要があります。 Intune で構成できる同様の設定の詳細については、次のページを参照してください。

次の手順