Microsoft Intune の新機能

  • [アーティクル]

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

注:

毎月の更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序になります。

  • 1 日目: アジア太平洋 (APAC)
  • 2 日目: ヨーロッパ、中東、アフリカ (EMEA)
  • 3 日目: 北米
  • 4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされ、最初の週にすべての顧客が利用できない場合があります。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。

Windows Autopilot ソリューションの新しい情報については、次を参照してください。

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2024 年 6 月 24 日の週

デバイスの登録

Windows の会社のデバイス識別子を追加する

Microsoft Intune では、Windows 11 バージョン 22H2 以降を実行しているデバイスの企業デバイス識別子がサポートされるようになりました。そのため、登録の前に会社のマシンを識別できるようになりました。 モデル、製造元、シリアル番号の条件に一致するデバイスが登録されると、Microsoft Intune によって会社のデバイスとしてマークされ、適切な管理機能が有効になります。 詳細については、「 企業識別子の追加」を参照してください。

2024 年 6 月 17 日の週 (サービス リリース 2406)

Microsoft Intune Suite

MSI および PowerShell ファイルの種類に対するエンドポイント特権管理のサポート

エンドポイント特権管理 (EPM) 昇格規則 で、以前にサポートされていた実行可能ファイルに加えて、Windows インストーラーと PowerShell ファイルの昇格がサポートされるようになりました。 EPM でサポートされる新しいファイル拡張子は次のとおりです。

  • .msi
  • .ps1

EPM の使用については、「 エンドポイント特権管理」を参照してください。

Microsoft Cloud PKI プロパティで証明機関のキーの種類を表示する

CA キーと呼ばれる新しい Microsoft Cloud PKI プロパティが管理センターで使用でき、署名と暗号化に使用される証明機関キーの種類が表示されます。 プロパティには、次のいずれかの値が表示されます。

  • HSM: ハードウェア セキュリティ モジュールによってサポートされるキーの使用を示します。
  • SW: ソフトウェアでサポートされるキーの使用を示します。

ライセンスを持つ Intune Suite または Cloud PKI スタンドアロン アドオンを使用して作成された証明機関は、HSM 署名と暗号化キーを使用します。 試用期間中に作成された証明機関は、ソフトウェアによる署名と暗号化キーを使用します。 Microsoft Cloud PKI の詳細については、「 Microsoft Intune 用 Microsoft Cloud PKI の概要」を参照してください。

アプリ管理

米国 GCC と GCC マネージド ホーム画面の高いサポート

マネージド ホーム 画面 (MHS) では、米国政府機関コミュニティ (GCC)、米国政府コミュニティ (GCC) High、および米国国防総省 (DoD) 環境のサインインがサポートされるようになりました。 詳細については、「 マネージド ホーム画面の構成 」および「 Microsoft Intune for US Government GCC サービスの説明」を参照してください

適用対象:

  • Android Enterprise

Managed Apps レポートの更新

マネージド アプリ レポートには、特定のデバイスの Enterprise App Catalog アプリに関する詳細が表示されるようになりました。 このレポートの詳細については、「 Managed Apps レポート」を参照してください。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログに移動します。

iOS/iPadOS

制限事項:

  • Web ディストリビューション アプリのインストールを許可する

システム構成 > フォント:

  • Font
  • 名前
macOS

プライバシー > プライバシー設定ポリシーの制御:

  • Bluetooth Always

適用対象:

  • iOS/iPadOS
  • macOS

設定カタログを使用して管理対象の iOS/iPadOS DDM ソフトウェア更新プログラムを構成するために使用できる OS バージョン ピッカー

Intune 設定カタログを使用すると、Apple の宣言型デバイス管理 (DDM) 機能を構成して、iOS/iPadOS デバイスのソフトウェア更新プログラムを管理できます。

設定カタログを使用してマネージド ソフトウェア更新ポリシーを構成すると、次のことができます。

  • Apple が利用できる更新プログラムの一覧からターゲット OS バージョンを選択します。
  • 必要に応じて、ターゲット OS バージョンを手動で入力します。

Intune でマネージド ソフトウェア更新プログラム プロファイルを構成する方法の詳細については、「 設定カタログを使用してマネージド ソフトウェア更新プログラムを構成する」を参照してください。

適用対象:

  • iOS/iPadOS

Intune 管理センターの UI 更新プログラム (デバイス > プラットフォーム別)

Intune 管理センターでは、[ デバイス>By プラットフォーム] を選択し、選択したプラットフォームのポリシー オプションを表示できます。 これらのプラットフォーム固有のページが更新され、ナビゲーション用のタブが含まれます。

Intune 管理センターのチュートリアルについては、「 チュートリアル: Microsoft Intune 管理センターのチュートリアル」を参照してください。

デバイスの登録

Windows の登録プラットフォームの制限に対する RBAC の変更

Microsoft Intune 管理センターのすべての登録プラットフォームの制限に対して、ロールベースのアクセス制御 (RBAC) が更新されました。 グローバル管理者ロールと Intune サービス管理者ロールは、登録プラットフォームの制限を作成、編集、削除、および再割り当てできます。 その他のすべての組み込み Intune ロールの場合、制限は読み取り専用です。

適用対象:

  • Android
  • Apple
  • Windows 10 または 11

これらの変更を行う場合は、次の点を理解することが重要です。

  • スコープ タグの動作は変更されません。 スコープ タグは通常どおり適用して使用できます。
  • 割り当てられたロールまたはアクセス許可が現在、ユーザーが登録プラットフォームの制限を表示できないようにしている場合、何も変更されません。 ユーザーは引き続き管理センターで登録プラットフォームの制限を表示できません。

詳細については、「 デバイス プラットフォームの制限を作成する」を参照してください。

デバイス管理

Wandera を Jamf に置き換える更新プログラムが Intune 管理センターで完了しました

Wandera と Jamf の置き換えをサポートするために、Microsoft Intune 管理センターでのブランド変更が完了しました。 これには、Mobile Threat Defense コネクタの名前 (Jamf) の更新と、 Jamf コネクタを使用するために最低限必要なプラットフォームへの変更が含まれます。

  • Android 11 以降
  • iOS/ iPadOS 15.6 以降

Jamf と Intune がサポートする他の Mobile Threat Defense (MTD) ベンダーの詳細については、「 Mobile Threat Defense パートナー」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Arlanto GmbH による Atom Edge (iOS)
  • HP Advance for Intune by HP Inc.
  • IntraActive by Fellowmind
  • Microsoft Azure (Android) by Microsoft Corporation
  • Mobile Helix Link for Intune by Mobile Helix
  • VPSX Print for Intune by Levi, Ray & Shoup, Inc.

保護されたアプリの詳細については、「Microsoft Intune で保護されたアプリ」を参照してください。

監視とトラブルシューティング

iOS および macOS 用ポータル サイト アプリで BitLocker 回復キーを表示する

エンド ユーザーは、iOS 用ポータル サイト アプリと macOS 用ポータル サイト アプリで、登録済みの Windows デバイスの BitLocker 回復キーと登録済み Mac の FileVault 回復キーを表示できます。 この機能により、エンド ユーザーが会社のマシンからロックアウトされた場合のヘルプデスク呼び出しが減ります。 エンド ユーザーは、ポータル サイト アプリにサインインし、[回復キーの取得] を選択することで、登録済みデバイスの 回復キーにアクセスできます。 このエクスペリエンスは、ポータル サイト Web サイトの回復プロセスに似ています。これにより、エンド ユーザーも回復キーを表示できます。

組織内のエンド ユーザーが BitLocker 回復キーにアクセスできないようにするには、Microsoft Entra ID の [ 管理者以外のユーザーが所有するデバイスの BitLocker キーを回復することを制限 する] 設定を構成します。

適用対象:

  • macOS
  • Windows 10 または 11

詳細については、以下を参照してください:

役割ベースのアクセス制御

Intune エンドポイント セキュリティ用の新しい詳細な RBAC コントロール

セキュリティ ベースライン のアクセス許可によって付与されるエンドポイント セキュリティ ポリシーに対するロールベースのアクセス制御 (RBAC) 権限を、特定のエンドポイント セキュリティ タスクに対する一連の詳細なアクセス許可に置き換え始めました。 この変更は、組み込みのエンドポイント セキュリティ マネージャー ロールまたはセキュリティ ベースラインアクセス許可を含むカスタム ロールに依存するのではなく、Intune 管理者が特定のジョブを実行するために必要な特定の権限を割り当てるのに役立ちます。 この変更の前に、 セキュリティ ベースライン のアクセス許可は、すべてのエンドポイント セキュリティ ポリシーに対する権限を付与します。

エンドポイント セキュリティ ワークロードでは、次の新しい RBAC アクセス許可を使用できます。

  • ビジネス向けアプリ コントロール
  • 攻撃面の縮小
  • エンドポイントの検出および応答

各新しいアクセス許可では、関連するポリシーに対して次の権限がサポートされます。

  • Assign
  • 作成
  • 削除
  • 読み取り
  • Update
  • レポートの表示

エンドポイント セキュリティ ポリシーの新しい詳細なアクセス許可を Intune に追加するたびに、それらの同じ権限が セキュリティ ベースライン のアクセス許可から削除されます。 セキュリティ ベースラインアクセス許可でカスタム ロールを使用する場合、新しい RBAC アクセス許可は、セキュリティ ベースラインアクセス許可を通じて付与されたのと同じ権限を持つカスタム ロールに自動的に割り当てられます。 この自動割り当てにより、管理者は現在と同じアクセス許可を持ち続けます。

現在の RBAC アクセス許可と組み込みロールの詳細については、次を参照してください。

重要

このリリースでは、エンドポイント セキュリティ ポリシーに対する ウイルス対策 の詳細なアクセス許可が一部のテナントに一時的に表示される場合があります。 このアクセス許可はリリースされず、使用はサポートされていません。 ウイルス対策アクセス許可の構成は、Intune によって無視されます。 ウイルス対策は、詳細なアクセス許可として使用できるようになると、この Microsoft Intune の新機能に関する記事で公開されます。

2024 年 6 月 3 日の週

デバイスの登録

デバイスの新しい登録時間グループ化機能

登録時間のグループ化は、登録中にデバイスをグループ化するための新しい、より高速な方法です。 構成すると、Intune はインベントリの検出と動的メンバーシップ評価を必要とせずに、デバイスを適切なグループに追加します。 登録時間のグループ化を設定するには、各登録プロファイルで静的な Microsoft Entra セキュリティ グループを構成する必要があります。 デバイスが登録されると、Intune によって静的セキュリティ グループに追加され、割り当てられたアプリとポリシーが配信されます。

この機能は、Windows Autopilot デバイスの準備を使用して登録する Windows 11 デバイスで使用できます。 詳細については、「 Microsoft Intune での登録時間のグループ化」を参照してください。

2024 年 5 月 27 日の週

Microsoft Intune Suite

リモート ヘルプの新しいプライマリ エンドポイント

Windows、Web、macOS デバイスでの リモート ヘルプ のエクスペリエンスを向上させるために、リモート ヘルプのプライマリ エンドポイントが更新されました。

  • 古いプライマリ エンドポイント: https://remoteassistance.support.services.microsoft.com
  • 新しいプライマリ エンドポイント: https://remotehelp.microsoft.com

リモート ヘルプを使用し、新しいプライマリ エンドポイントをブロックするファイアウォール規則がある場合、管理者とユーザーは、ヘルプの削除を使用するときに接続の問題や中断が発生する可能性があります。

Windows デバイスで新しいプライマリ エンドポイントをサポートするには、リモート ヘルプをバージョン 5.1.124.0 にアップグレードします。 Web および macOS デバイスでは、新しいプライマリ エンドポイントを利用するために、リモート ヘルプの更新バージョンは必要ありません。

適用対象:

  • macOS 11、12、13、14
  • Windows 10 または 11
  • ARM64 デバイスの Windows 11
  • ARM64 デバイス上の Windows 10
  • Windows 365

最新バージョンのリモート ヘルプについては、リモート ヘルプの新機能に関する 2024 年 3 月 13エントリを参照してください。 リモート ヘルプの Intune エンドポイントの詳細については、「Microsoft Intune のネットワーク エンドポイントリモート ヘルプ」を参照してください。

デバイス管理

Linux 用 Windows サブシステムのコンプライアンスを評価する (パブリック プレビュー)

パブリック プレビューでは、Microsoft Intune では、Windows ホスト デバイスで実行されている Windows Subsystem for Linux (WSL) のインスタンスに対するコンプライアンス チェックがサポートされています。

このプレビューでは、WSL の必要なディストリビューションとバージョンを評価するカスタム コンプライアンス スクリプトを作成できます。 WSL コンプライアンスの結果は、ホスト デバイスの全体的なコンプライアンス状態に含まれます。

適用対象:

  • Windows 10
  • Windows 11

この機能の詳細については、「 Windows Subsystem for Linux (パブリック プレビュー)のコンプライアンスを評価する」を参照してください。

2024 年 5 月 20 日の週 (サービス リリース 2405)

デバイス構成

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

macOS 設定カタログに新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログ] に移動します。

Microsoft AutoUpdate (MAU):

  • Microsoft Teams (職場または学校)
  • クラシックMicrosoft Teams

Microsoft Defender > 機能:

  • データ損失防止の使用
  • システム拡張機能を使用する

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

適用対象:

  • macOS

デバイスの登録

エンド ユーザーの手順を減らすために Android デバイス登録をステージングする

エンド ユーザーの登録時間を短縮するために、Microsoft Intune では Android Enterprise デバイスのデバイス ステージングがサポートされています。 デバイスステージングでは、登録プロファイルをステージングし、これらのデバイスを受信するワーカーに関連するすべての登録手順を完了できます。

  • 企業所有のフル マネージド デバイス
  • 仕事用プロファイルを持つ企業所有のデバイス

現場担当者がデバイスを受け取る場合は、Wi-Fi に接続して職場アカウントにサインインする必要があります。 この機能を有効にするには、新しい デバイス ステージング トークン が必要です。 詳細については、「 デバイス のステージングの概要」を参照してください。

デバイス管理

登録済みの Windows デバイスの BitLocker 回復キーへのエンド ユーザー アクセス

エンド ユーザーは、ポータル サイト Web サイトから登録済みの Windows デバイスの BitLocker 回復キーを表示できるようになりました。 この機能により、エンド ユーザーが会社のマシンからロックアウトされた場合のヘルプデスク呼び出しを減らすことができます。 エンド ユーザーは、ポータル サイト Web サイトにサインインし、[回復キーの表示] を選択することで、登録済みデバイスの 回復キーにアクセスできます。 このエクスペリエンスは MyAccount Web サイトに似ています。これにより、エンド ユーザーも回復キーを表示できます。

組織内のエンド ユーザーが BitLocker 回復キーにアクセスできないようにするには、[Entra ID] トグル [ 管理者以外のユーザーが所有するデバイスの BitLocker キーを回復することを制限する] を構成します。

詳細については、以下を参照してください:

Windows ハードウェア構成証明レポートの新しいバージョン

Device Health Attestation と Microsoft Azure Attestation for Windows 10/11 によって構成証明された設定の値を示す新しいバージョンの Windows ハードウェア構成証明レポートがリリースされました。 Windows ハードウェア構成証明レポートは、新しいレポート インフラストラクチャに基づいて構築され、Microsoft Azure 構成証明に追加された新しい設定について報告します。 レポートは、管理センターの レポート>Device Compliance>Reports で使用できます。

詳細については、「Intune レポート」を参照してください。

以前に [デバイス>Monitor ] で利用できる Windows 正常性構成証明レポートは廃止されました。

適用対象:

  • Windows 10
  • Windows 11

デバイスの削除アクションを監視する

Intune のデバイス アクション レポートで、デバイスの削除アクションを監視および追跡できるようになりました。 デバイスの削除アクションがトリガーされたタイミング、そのアクションを開始したユーザー、およびアクションの状態を決定できます。 デバイスの削除アクションの状態は、完了、保留中、または失敗のいずれかです。 このデバイス情報は、コンプライアンスの維持、セキュリティの確保、監査プロセスの効率化に役立ちます。 レポートは、Microsoft Intune 管理センターで [デバイス>Monitor>Device actions] を選択することで確認できます。

レポートの詳細については、「 Intune レポート」を参照してください。

オプションの機能更新プログラム

機能更新プログラムは、 オプション の機能更新プログラムの導入と共に、 オプション の更新プログラムとしてエンド ユーザーが利用できるようになりました。 エンド ユーザーは、コンシューマー デバイスに表示されるのと同じ方法で 、Windows Update の設定ページに更新プログラムが表示されます。

エンド ユーザーは、次の機能更新プログラムを試してフィードバックを提供することを簡単にオプトインできます。 必要 更新プログラムとして機能をロールアウトする場合、管理者はポリシーの設定を変更し、ロールアウト設定を更新して、更新プログラムがまだインストールされていないデバイスに 対して必要な 更新プログラムとして展開されるようにすることができます。

オプションの機能更新プログラムの詳細については、「 Intune での Windows 10 以降の機能更新プログラム」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

デバイスのセキュリティ

Microsoft Defender for Endpoint のセキュリティ ベースラインが更新されました

Microsoft Defender for Endpoint の Intune セキュリティ ベースラインをデプロイできるようになりました。 新しいベースライン バージョン 24H1 では、設定カタログに表示される統合設定プラットフォームが使用されます。このプラットフォームでは、ユーザー インターフェイスとレポート エクスペリエンスが向上し、入れ墨の設定に対する一貫性と精度が向上し、プロファイルの割り当てフィルターをサポートする新しい機能が備わっています。

Intune のセキュリティ ベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ち、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。

すべてのベースラインと同様に、既定のベースラインは、組織の要件を満たすように変更できる各設定の推奨構成を表します。

適用対象:

  • Windows 10
  • Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Fellow.app by Fellow Insights Inc
  • Unique AG によるユニークな瞬間

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 5 月 6 日の週

デバイス管理

Intune と macOS ポータル サイト アプリは、プラットフォーム SSO (パブリック プレビュー) をサポートしています

Apple デバイスでは、Microsoft Intune と Microsoft Enterprise SSO プラグインを使用して、Microsoft 365 を含む Microsoft Entra 認証をサポートするアプリや Web サイトのシングル サインオン (SSO) を構成できます。

macOS デバイスでは、プラットフォーム SSO はパブリック プレビューで使用できます。 プラットフォーム SSO では、さまざまな認証方法を構成したり、ユーザーのサインイン プロセスを簡略化したり、覚えておく必要があるパスワードの数を減らしたりすることで、SSO アプリ拡張機能が拡張されます。

プラットフォーム SSO は、ポータル サイト アプリ バージョン 5.2404.0 以降に含まれています。

プラットフォーム SSO と開始方法の詳細については、次を参照してください。

適用対象:

  • macOS 13 以降

テナント管理

Intune 管理センターのエクスペリエンスをカスタマイズする

折りたたみ可能なナビゲーションとお気に入りを使用して、Intune 管理センターのエクスペリエンスをカスタマイズできるようになりました。 Microsoft Intune 管理センターの左側のナビゲーション メニューが更新され、メニューの各サブセクションの展開と折りたたみがサポートされます。 さらに、管理センターページをお気に入りとして設定することもできます。 このポータル機能は、次の週に徐々にロールアウトされます。

既定では、メニュー セクションが展開されます。 ポータルのメニュー動作を選択するには、右上にある [設定 ] 歯車アイコンを選択して ポータルの設定を表示します。 次に、[ 外観 + スタートアップ ビュー ] を選択し、既定のポータル オプションとして [サービス] メニューの動作[折りたたみ] または [展開] に設定します。 各メニュー セクションには、選択した展開または折りたたまれた状態が保持されます。 さらに、左側のナビゲーションのページの横にある星のアイコンを選択すると、メニューの上部近くの [お気に入り ] セクションにページが追加されます。

関連情報については、「 ポータルの設定を変更する」を参照してください。

2024 年 4 月 29 日の週

アプリ管理

マネージド ホーム画面エクスペリエンスの更新

最近、マネージド ホーム画面のエクスペリエンスがリリースされ、改善されました。現在は一般公開されています。 アプリは、アプリケーション全体のコア ワークフローを改善するために再設計されました。 更新された設計により、より使用可能でサポート可能なエクスペリエンスが提供されます。

このリリースでは、以前の Managed Home Screen ワークフローへの投資を停止します。 マネージド ホーム画面の新機能と修正プログラムは、新しいエクスペリエンスにのみ追加されます。 2024 年 8 月中に、すべてのデバイスで新しいエクスペリエンスが自動的に有効になります。

詳細については、「Android Enterprise および Android Enterprise デバイス設定の Microsoft Managed Home Screen アプリを構成して、Intune を使用して企業所有デバイスの機能を許可または制限する」を参照してください。

マネージド ホーム画面でアクティビティを再開するには、エンド ユーザーに PIN の入力を要求する

Intune では、エンド ユーザーにセッション PIN の入力を要求して、指定した期間デバイスが非アクティブな場合に、マネージド ホーム画面でアクティビティを再開できます。 [ セッション PIN が必要になるまでの最小非アクティブ時間 ] 設定を、エンド ユーザーがセッション PIN を入力する前にデバイスが非アクティブな秒数に設定します。

詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

管理対象ホーム画面から利用可能なデバイス IPv4 と IPv6 の詳細

IPv4 と IPv6 の両方の接続の詳細は、マネージド ホーム画面アプリの [デバイス情報 ] ページから入手できるようになりました。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

マネージド ホーム画面のサインイン サポートの更新

マネージド ホーム画面でドメインレス サインインがサポートされるようになりました。 管理者は、サインイン時にユーザー名に自動的に追加されるドメイン名を構成できます。 また、マネージド ホーム画面では、サインイン プロセス中にユーザーに表示されるカスタム ログイン ヒント テキストもサポートされています。

詳細については、「Android Enterprise および Android Enterprise デバイス設定の Microsoft Managed Home Screen アプリを構成して、Intune を使用して企業所有デバイスの機能を許可または制限する」を参照してください。

エンド ユーザーが Android Enterprise デバイスの自動ローテーションを制御できるようにする

Intune では、エンド ユーザーがデバイスの自動ローテーションをオンまたはオフにできる設定をマネージド ホーム画面アプリで公開できるようになりました。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

エンド ユーザーが Android Enterprise デバイスの画面の明るさを調整できるようにする

Intune では、管理対象ホーム画面アプリの設定を公開して、Android Enterprise デバイスの画面の明るさを調整できます。 アプリで設定を公開して、エンド ユーザーが明るさスライダーにアクセスしてデバイスの画面の明るさを調整できるようにすることができます。 また、エンド ユーザーがアダプティブ明るさを切り替えるように設定を公開することもできます。

詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

Xamarin から .NET MAUI に移行されました

Xamarin.Forms は.NET マルチプラットフォーム アプリ UI (MAUI) に進化しました。 既存の Xamarin プロジェクトを .NET MAUI に移行する必要があります。 Xamarin プロジェクトを .NET にアップグレードする方法の詳細については、「 Xamarin から .NET へのアップグレード」& .NET MAUI のドキュメントを参照してください。

Xamarin のサポートは、Xamarin.Forms や Intune App SDK Xamarin Bindings を含むすべての Xamarin SDK について、2024 年 5 月 1 日に終了しました。 Android および iOS プラットフォームでの Intune サポートについては、「 Intune App SDK for .NET MAUI - Android」および 「Microsoft Intune App SDK for MAUI.iOS」を参照してください。

2024 年 4 月 22 日の週 (サービス リリース 2404)

アプリ管理

Win32 アプリの置き換えで利用可能な自動更新

Win32 アプリの置き換えは、 自動更新 の意図で使用可能な状態でデプロイされたアプリを置き換える機能を提供します。 たとえば、利用可能な Win32 アプリ (アプリ A) を展開し、ユーザーがデバイスにインストールした場合、 自動更新を使用してアプリ A を置き換える新しい Win32 アプリ (アプリ B) を作成できます。 ポータル サイトから使用可能なアプリ A がインストールされているすべてのターゲット デバイスとユーザーは、アプリ B に置き換えられます。また、ポータル サイトにはアプリ B のみが表示されます。 利用可能なアプリの置き換えの自動更新機能は、[割り当て] タブの [使用可能な割り当て] の下のトグルとして見つけることができます。

アプリの置き換えの詳細については、「 Win32 アプリの置き換えの追加」を参照してください。

デバイス構成

OEMConfig ポリシーが Android Enterprise デバイスで 500 KB を超えると、エラー メッセージが表示される

Android Enterprise デバイスでは、OEMConfig デバイス構成プロファイルを使用して、OEM 固有の設定を追加、作成、カスタマイズできます。

500 KB を超える OEMConfig ポリシーを作成すると、Intune 管理センターに次のエラーが表示されます。

Profile is larger than 500KB. Adjust profile settings to decrease the size.

以前は、500 KB を超えた OEMConfig ポリシーは保留中として表示されていました。

OEMConfig プロファイルの詳細については、「 Microsoft Intune で OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

適用対象:

  • Android Enterprise

デバイスのセキュリティ

ファイアウォール規則を処理するための Windows ファイアウォール CSP の変更

Windows は、ファイアウォール構成サービス プロバイダー (CSP) がファイアウォール規則のアトミック ブロックからの規則を適用する方法を変更しました。 デバイス上の Windows ファイアウォール CSP は、 Intune エンドポイント セキュリティ ファイアウォール ポリシーのファイアウォール規則設定を実装します。 CSP の動作の変更により、各 Atomic ブロックの規則からファイアウォール規則の適用がすべてまたはまったく適用されなくなります。

  • 以前は、デバイス上の CSP は、その Atomic ブロック内のすべてのルールを適用することを目標に、一度に 1 つのルール (または設定) のアトミック ブロック内のファイアウォール規則を通過していました。 CSP がブロックからデバイスにルールを適用する際に問題が発生した場合、CSP はそのルールを停止するだけでなく、適用を試みることなく後続のルールの処理を停止します。 ただし、ルールが失敗する前に正常に適用されたルールは、デバイスに適用されたままです。 規則の適用に失敗する前に適用された規則は元に戻されないため、この動作により、デバイスにファイアウォール規則が部分的に展開される可能性があります。

  • ファイアウォール CSP への変更により、ブロック内のルールがデバイスへの適用に失敗すると、正常に適用された同じ Atomic ブロックのすべてのルールがロールバックされます。 この動作により、必要なすべてまたは何もない動作が実装され、そのブロックからのファイアウォール規則の部分的な展開が防止されます。 たとえば、適用できない規則が正しく構成されていないファイアウォール規則のアトミック ブロックをデバイスが受け取った場合、またはデバイス オペレーティング システムと互換性のないルールがある場合、CSP はそのブロックからすべてのルールを失敗させ、そのデバイスに適用されたすべてのルールをロールバックします。

このファイアウォール CSP 動作の変更は、次の Windows バージョン以降を実行するデバイスで使用できます。

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

Windows ファイアウォール CSP がアトミック ブロックを使用してファイアウォール規則を含める方法の詳細については、Windows ドキュメントの ファイアウォール CSP の上部付近にあるメモを参照してください。

トラブルシューティング ガイダンスについては、Intune サポート ブログ「 Intune エンドポイント セキュリティ ファイアウォール規則の作成プロセスをトレースしてトラブルシューティングする方法」を参照してください。

CrowdStrike – 新しいモバイル脅威防御パートナー

Intune と統合された Mobile Threat Defense (MTD) パートナーとして CrowdStrike Falcon を追加しました。 Intune で CrowdStrike コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

Intune 2404 サービス リリースでは、CrowdStrike コネクタが管理センターで使用できるようになりました。 ただし、CrowdStrike が iOS および Android デバイスをサポートするために必要なアプリ構成プロファイルの詳細を公開するまでは使用できません。 プロファイルの詳細は、5 月の第 2 週後に予想されます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Asana: Asana, Inc. が 1 か所で作業する
  • Intune 用 Freshservice by Freshworks, Inc.
  • タングステンオートメーション株式会社によるKofaxパワーPDFモバイル
  • Microsoft Corporation によるリモート デスクトップ

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows 更新プログラムの配布レポート

Intune の Windows 更新プログラム配布レポートには、概要レポートが用意されています。 このレポートには、次の情報が表示されます。

  • 各品質更新レベルにあるデバイスの数。
  • 共同管理デバイスを含む Intune マネージド デバイス全体の各更新プログラムのカバレッジの割合。

Windows 10/11 機能バージョンと更新プログラムの状態に基づいてデバイスを集計する品質更新プログラムごとに、レポートをさらにドリルダウンできます。

最後に、管理者は、前の 2 つのレポートに示されている数値に集計されたデバイスの一覧を取得できます。また、Windows Update for Business レポートと共にトラブルシューティングや分析にエクスポートして使用することもできます。

Windows 更新プログラムの配布レポートの詳細については、「 Intune 上の Windows Update レポート」を参照してください。

適用対象:

  • Windows 10
  • Windows 11

Microsoft 365 リモート アプリケーション診断の Intune サポート

Microsoft 365 リモート アプリケーション診断を使用すると、Intune 管理者は Intune コンソールから Intune アプリ保護ログと Microsoft 365 アプリケーション ログ (該当する場合) を直接要求できます。 このレポートは、Microsoft Intune 管理センターで [トラブルシューティングとサポート>Troubleshoot>ユーザー>Summary>App protection* を選択することで確認できます。 この機能は、Intune アプリ保護管理下にあるアプリケーション専用です。 サポートされている場合、アプリケーション固有のログが収集され、アプリケーションごとに専用ストレージ ソリューションに格納されます。

詳細については、「 Intune マネージド デバイスから診断を収集する」を参照してください。

リモート ヘルプでは、macOS デバイスのフル コントロールがサポートされます

リモート ヘルプでは、ヘルプデスクがユーザーのデバイスに接続し、macOS デバイスのフル コントロールを要求できるようになりました。

詳細については、以下を参照してください:

適用対象:

  • macOS 12、13、14

2024 年 4 月 15 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Atom Edge by Arlanto Apps

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 4 月 1 日の週

デバイス管理

Intune の Copilot は、Intune 管理センターで使用できます (パブリック プレビュー)

Intune の Copilot は Intune 管理センターに統合されており、情報をすばやく取得するのに役立ちます。 Intune では、次のタスクに Copilot を使用できます。

Copilot は、設定とポリシーの管理に役立ちます

  • 設定に関する Copilot ヒント: ポリシーに設定を追加したり、既存のポリシーの設定を確認したりすると、新しい Copilot ヒントが表示されます。 ツールヒントを選択すると、Microsoft のコンテンツと推奨事項に基づいて AI によって生成されるガイダンスが表示されます。 設定が別のポリシーで構成されている場合は、各設定の動作、設定のしくみ、推奨値などを確認できます。

  • ポリシー サマライザー: 既存のポリシーでは、ポリシーの Copilot の概要が表示されます。 この概要では、ポリシーの実行内容、ポリシーに割り当てられたユーザーとグループ、およびポリシーの設定について説明します。 この機能は、ポリシーとその設定がユーザーとデバイスに与える影響を理解するのに役立ちます。

Copilot はデバイスの詳細を表示し、トラブルシューティングに役立ちます

  • デバイスに関するすべて: デバイスでは、Copilot を使用して、デバイスのプロパティ、構成、状態情報など、デバイスに関する重要な情報を取得できます。

  • デバイスの比較: Copilot を使用して、2 つのデバイスのハードウェアプロパティとデバイス構成を比較します。 この機能は、特にトラブルシューティングを行う場合に、同様の構成を持つ 2 つのデバイス間で何が異なるかを判断するのに役立ちます。

  • エラー コード アナライザー: デバイス ビューで Copilot を使用してエラー コードを分析します。 この機能は、エラーの意味を理解するのに役立ち、潜在的な解決策を提供します。

セキュリティのための Copilot の Intune 機能

Intune には、Copilot for Security ポータルで使用できる機能があります。 SOC アナリストと IT 管理者は、これらの機能を使用して、ポリシー、デバイス、グループ メンバーシップなどの詳細情報を取得できます。 1 つのデバイスで、コンプライアンスの状態、デバイスの種類など、Intune 固有のより具体的な情報を取得できます。

また、Copilot にユーザーのデバイスについて伝え、重要な情報の簡単な概要を取得するように依頼することもできます。 たとえば、出力には、Intune のユーザーのデバイスへのリンク、デバイス ID、登録日、最終チェックイン日、コンプライアンスの状態が表示されます。 IT 管理者でユーザーを確認している場合、このデータは簡単な概要を提供します。

疑わしい、または侵害される可能性のあるユーザーまたはデバイスを調査している SOC アナリストは、登録日や最終チェックインなどの情報を基にした意思決定を行うのに役立ちます。

これらの機能の詳細については、以下を参照してください。

適用対象:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

GCC のお客様は、Windows および Android デバイスのリモート ヘルプを使用できます

Microsoft Intune Suite には、リモート ヘルプを含む高度なエンドポイント管理とセキュリティ機能が含まれています。

Windows および登録済みの Android Enterprise 専用デバイスでは、米国政府機関 GCC 環境でリモート ヘルプを使用できます。

これらの機能の詳細については、以下を参照してください。

適用対象:

  • Windows 10 または 11
  • ARM64 デバイスの Windows 10/11
  • Windows 365
  • Android Enterprise 専用デバイスとして登録されている Samsung デバイスと Zebra デバイス

デバイス構成

OEM 向けの新しい BIOS デバイス構成プロファイル

OEM 用の新しい BIOS 構成とその他の設定 デバイス構成ポリシーがあります。 管理者は、この新しいポリシーを使用して、デバイスをセキュリティで保護するさまざまな BIOS 機能を有効または無効にすることができます。 Intune デバイス構成ポリシーでは、BIOS 構成ファイルを追加し、Win32 アプリをデプロイしてから、デバイスにポリシーを割り当てます。

たとえば、管理者は Dell Command ツール (Dell の Web サイトを開く) を使用して BIOS 構成ファイルを作成できます。 次に、このファイルを新しい Intune ポリシーに追加します。

この機能の詳細については、「 Microsoft Intune の Windows デバイスで BIOS 構成プロファイルを使用する」を参照してください。

適用対象

  • Windows 10 以降

2024 年 3 月 25 日の週 (サービス リリース 2403)

Microsoft Intune Suite

エンドポイント特権管理の新しい昇格の種類

Endpoint Privilege Management には、新しいファイル昇格の種類があり、 サポートが承認されています。 Endpoint Privilege Management は Microsoft Intune Suite の機能コンポーネントであり、スタンドアロン Intune アドオンとしても使用できます。

サポートが承認された昇格では、既定の昇格応答と各ルールの昇格の種類の両方に対して 3 番目のオプションが提供されます。 自動またはユーザーによる確認とは異なり、サポートが承認された昇格要求では、Intune 管理者は、ケース バイ ケースで管理者特権で実行できるファイルを管理する必要があります。

承認された昇格をサポートすると、ユーザーは、自動またはユーザーが承認したルールによって昇格が明示的に許可されていないアプリケーションを昇格するための承認を要求できます。 これは、昇格要求を承認または拒否できる Intune 管理者が確認する必要がある昇格要求の形式をとります。

要求が承認されると、アプリケーションを管理者特権で実行できるようになり、昇格の承認が期限切れになるまでに、承認時から 24 時間が経過すると、ユーザーに通知されます。

適用対象:

  • Windows 10
  • Windows 11

この新機能の詳細については、「 承認済みの昇格要求をサポートする」を参照してください。

アプリ管理

仕事用プロファイルを持つ個人所有の Android デバイス上のマネージド Google Play アプリの拡張機能

仕事用プロファイル デバイスに拡張された新機能があります。 次の機能は、以前は企業所有のデバイスでのみ使用できます。

  • デバイス グループで使用できるアプリ: Intune を使用して、マネージド Google Play ストアを通じてデバイス グループでアプリを使用できるようにします。 以前は、アプリはユーザー グループでのみ使用できました。

  • 更新の優先順位の設定: Intune を使用して、仕事用プロファイルを持つデバイスでアプリの更新の優先順位を構成できます。 この設定の詳細については、「 マネージド Google Play アプリを更新する」を参照してください。

  • 必要なアプリは、マネージド Google Play で使用可能な場合に表示されます。Intune を使用して、マネージド Google Play ストアを通じてユーザーが必要なアプリを使用できるようにします。 既存のポリシーの一部であるアプリが使用可能として表示されるようになりました。

これらの新機能は、複数月にわたって段階的なロールアウトに従います。

適用対象:

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) > パスコード:

  • パスコードの最長有効期間 (日数)
  • 最小複合文字
  • 英数字パスコードを要求する

制限事項:

  • Marketplace アプリのインストールを許可する
macOS

宣言型デバイス管理 (DDM) > パスコード:

  • 次回認証時に変更する
  • カスタム正規表現
  • 失敗した試行のリセット (分単位)
  • パスコードの最長有効期間 (日数)
  • 最小複合文字
  • 英数字パスコードを要求する

完全ディスク暗号化 > FileVault:

  • 回復キーのローテーション (月単位)

Windows 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログに移動します。

  • 配信の最適化:

    • [VPN でのキャッシュ サーバーのダウンロードを禁止する ] - この設定では、デバイスが VPN を使用して接続するときに、Microsoft Connected Cache サーバーからのダウンロードがブロックされます。 既定では、VPN を使用して接続されている場合、デバイスは Microsoft Connected Cache からダウンロードできます。

    • DO バックグラウンド ダウンロード帯域幅を制限する時間を設定する - この設定では、バックグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

    • DO 前景ダウンロード帯域幅を制限するように時間を設定する - この設定では、フォアグラウンドダウンロードの最大帯域幅を指定します。 配信の最適化では、利用可能なダウンロード帯域幅の割合として、すべての同時ダウンロード アクティビティで、営業時間中と営業時間外にこの帯域幅が使用されます。

    • DO VPN キーワード - このポリシーを使用すると、VPN 接続を認識するために使用される 1 つ以上のキーワードを設定できます。

  • メッセージング:

    • メッセージ同期を許可 する - このポリシー設定では、携帯ネットワーク テキスト メッセージのバックアップと復元を Microsoft のクラウド サービスに許可します。

  • Microsoft Defender ウイルス対策:

    • アーカイブ ファイルをスキャンする最大深度を指定する
    • スキャンするアーカイブ ファイルの最大サイズを指定する

これらの設定の詳細については、次を参照してください。

適用対象:

  • Windows 10 以降

Windows デバイスのウイルス対策ポリシーに追加された新しいアーカイブ ファイル スキャン設定

Windows 10 および Windows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーMicrosoft Defender ウイルス対策プロファイルに、次の 2 つの設定を追加しました。

ウイルス対策ポリシーを使用すると、Intune によって登録されたデバイスと、 Defender for Endpoint セキュリティ設定管理 シナリオで管理されているデバイスで、これらの設定を管理できます。

どちらの設定も、デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類>Defender 用の設定カタログで使用できます。

適用対象:

  • Windows 10
  • Windows 11

割り当てフィルターの更新

Intune 割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。

これで、次のことができます。

  • Window MAM アプリ保護ポリシーとアプリ構成ポリシーには、マネージド アプリ割り当てフィルターを使用します。
  • 既存の割り当てフィルターを [プラットフォーム]、[ マネージド アプリ ] または [ マネージド デバイス ] フィルターの種類でフィルター処理します。 フィルターが多数ある場合、この機能を使用すると、作成した特定のフィルターを簡単に見つけることができます。

これらの機能の詳細については、以下を参照してください。

この機能は、以下に適用されます。

  • 次のプラットフォーム上のマネージド デバイス:

    • Android デバイス管理者
    • Android Enterprise
    • Android (AOSP)
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11

  • 次のプラットフォーム上のマネージド アプリ:

    • Android
    • iOS/iPadOS
    • Windows

デバイス管理

新しいコンプライアンス設定を使用すると、ハードウェアに基づくセキュリティ機能を使用してデバイスの整合性を確認できます

ハードウェアに基づくセキュリティ機能を使用して強力な整合性を確認するという新しいコンプライアンス設定を使用すると、ハードウェアに基づくキー構成証明を使用してデバイスの整合性を確認できます。 この設定を構成すると、強力な整合性構成証明が Google Play の整合性判定評価に追加されます。 準拠を維持するには、デバイスがデバイスの整合性を満たす必要があります。 Microsoft Intune は、この種類の整合性チェックをサポートしていないデバイスを非準拠としてマークします。

この設定は、Android Enterprise のフル マネージド、専用、および企業所有の仕事用プロファイルのプロファイルで、[ Device Health>Google Play Protect] で使用できます。 これは、プロファイルの [Play integrity verdict policy] が [ 基本的な整合性の確認 ] または [デバイスの整合性 & 基本的な整合性の確認] に設定されている場合にのみ使用できるようになります。

適用対象:

  • Android Enterprise

詳細については、「 デバイスコンプライアンス - Google Play Protect」を参照してください。

Android 仕事用プロファイル、個人用デバイスの新しいコンプライアンス設定

これで、デバイス パスワードに影響を与えることなく、仕事用プロファイル パスワードのコンプライアンス要件を追加できるようになりました。 すべての新しい Microsoft Intune 設定は、Android Enterprise 個人所有の仕事用プロファイルの [ システム セキュリティ>Work Profile Security のコンプライアンス プロファイルで使用でき、次のものが含まれます。

  • 仕事用プロファイルのロックを解除するためにパスワードを要求する
  • パスワードの有効期限が切れるまでの日数
  • 再使用を禁止するパスワード世代数
  • パスワードが要求されるまでの非アクティブの最長時間 (分)
  • パスワードの複雑さ
  • パスワードの入力が必要
  • パスワードの最小文字数

仕事用プロファイルのパスワードが要件を満たしていない場合、ポータル サイトはデバイスを非準拠としてマークします。 Intune コンプライアンス設定は、Intune デバイス構成プロファイルのそれぞれの設定よりも優先されます。 たとえば、コンプライアンス プロファイルのパスワードの複雑さは [中] に設定されます。 デバイス構成プロファイルのパスワードの複雑さは に設定されています。 Intune では、コンプライアンス ポリシーの優先順位付けと適用が行われます。

適用対象:

  • 仕事用プロファイルがある個人所有の Android Enterprise デバイス

詳細については、「 コンプライアンス設定 - Android Enterprise」を参照してください。

セキュリティ以外の更新プログラムを迅速化するための Windows 品質更新プログラムのサポート

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

  • Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「 Microsoft Intune での Windows 品質更新プログラムの迅速化」を参照してください。

構成更新の適用間隔を一時停止するリモート アクションの概要

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、デバイスを Intune にチェックインすることなく、以前に受信したポリシー設定を再適用する Windows デバイスの頻度を設定できます。 デバイスは、構成ドリフトの可能性を最小限に抑えるために、以前に受信したポリシーに基づいて設定を再生して再適用します。

この機能をサポートするために、操作の一時停止を許可するリモート アクションが追加されます。 管理者がトラブルシューティングやメンテナンスのためにデバイスに変更を加えたり修復を実行したりする必要がある場合は、指定した期間 Intune から一時停止を発行できます。 期間が期限切れになると、設定が再度適用されます。

リモート アクション [ 構成の更新の一時停止] には、デバイスの概要ページからアクセスできます。

詳細については、以下を参照してください:

デバイスのセキュリティ

Windows バージョン 23H2 のセキュリティ ベースラインを更新しました

Windows バージョン 23H2 の Intune セキュリティ ベースラインをデプロイできるようになりました。 この新しいベースラインは、Microsoft ダウンロード センターのセキュリティ コンプライアンス ツールキットとベースラインにあるグループ ポリシー セキュリティ ベースラインのバージョン 23H2 に基づいており、Intune で管理されているデバイスに適用できる設定のみが含まれています。 この更新されたベースラインを使用すると、Windows デバイスのベスト プラクティス構成を維持するのに役立ちます。

このベースラインでは、設定カタログに表示される統合設定プラットフォームが使用されます。 これは、改善されたユーザーインターフェイスとレポートの経験、入れ墨の設定に関連する一貫性と精度の向上を備え、プロファイルの割り当てフィルタをサポートすることができます。

Intune のセキュリティ ベースラインを使用すると、Microsoft の該当するセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Windows デバイスに迅速に展開できます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。これは、組織の要件を満たすように変更できます。

適用対象:

  • Windows 10
  • Windows 11

既定の構成に含まれる新しいベースラインの設定を表示するには、「 Windows MDM セキュリティ ベースライン バージョン 23H2」を参照してください。

ポッドマンのルートレス実装を使用して Microsoft Tunnel をホストする

前提条件が満たされたら、ルートレス Podman コンテナーを使用して Microsoft Tunnel サーバーをホストできます。 この機能は、 Podman for Red Hat Enterprise Linux (RHEL) バージョン 8.8 以降を使用して Microsoft Tunnel をホストする場合に使用できます。

ルートレス Podman コンテナーを使用する場合、mstunnel サービスは特権のないサービス ユーザーの下で実行されます。 この実装は、コンテナー エスケープからの影響を制限するのに役立ちます。 ルートレス Podman コンテナーを使用するには、変更されたコマンド ラインを使用してトンネル インストール スクリプトを開始する必要があります。

この Microsoft Tunnel インストール オプションの詳細については、「 ルートレス Podman コンテナーを使用する」を参照してください。

Microsoft Defender for Endpoint の Intune 展開の機能強化

Intune のエンドポイント検出と応答 (EDR) ポリシーを使用する場合に、Microsoft Defender にデバイスをオンボードするためのエクスペリエンス、ワークフロー、レポートの詳細を改善し、簡略化しました。 これらの変更は、Intune とテナント接続シナリオによって管理される Windows デバイスに適用されます。 これらの機能強化は次のとおりです。

  • Defender EDR 展開番号の可視性を向上させるために、EDR ノード、ダッシュボード、レポートに対する変更。 「エンドポイントの検出と応答ノードについて」を参照してください。

  • 適切な Windows デバイスへの Defender for Endpoint の展開を合理化する構成済みの EDR ポリシーを展開するための新しいテナント全体のオプション。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

  • エンドポイント セキュリティ ノードの Intune の [概要] ページに対する変更。 これらの変更により、管理対象デバイス上の Defender for Endpoint からのデバイス信号のレポートが統合されたビューが提供されます。 「事前構成済みの EDR ポリシーを使用する」を参照してください。

これらの変更は、管理センターのエンドポイント のセキュリティとエンドポイントの検出と応答のノードと、次のデバイス プラットフォームに適用されます。

  • Windows 10
  • Windows 11

Windows 品質更新プログラムでは、セキュリティ以外の更新プログラムの迅速化がサポートされます

Windows 品質更新プログラムでは、品質修正プログラムを通常の品質更新プログラムの設定よりも速く展開する必要がある場合に、セキュリティ以外の更新プログラムの迅速化がサポートされるようになりました。

適用対象:

  • Windows 11 デバイス

迅速な更新プログラムのインストールの詳細については、「 Microsoft Intune での Windows 品質更新プログラムの迅速化」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Cerby by Cerby, Inc.
  • OfficeMail Go by 9Folders, Inc.
  • DealCloud by Intapp, Inc.
  • Intapp 2.0 by Intapp, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 3 月 3 日の週

デバイスの登録

Windows Hello for Business の登録設定に対するロールベースのアクセス制御の変更

Windows Hello for Business の登録領域でロールベースのアクセス制御 (RBAC) を更新しました。 Windows Hello for Business に関連する登録設定は、Intune サービス管理者を除くすべてのロールに対して読み取り専用です。 Intune サービス管理者は、Windows Hello for Business 登録設定を作成および編集できます。

詳細については、「デバイス登録時の Windows Hello」の「ロールベースのアクセス制御」を参照してください。

デバイスのセキュリティ

Windows Hello for Business の新しい登録構成

新しい Windows Hello for Business 登録設定である [拡張サインイン セキュリティを有効にする] は、Intune 管理センターで使用できます。 強化されたサインイン セキュリティは、悪意のあるユーザーが外部周辺機器を介してユーザーの生体認証にアクセスできないようにする Windows Hello 機能です。

この設定の詳細については、「 Windows Hello for Business ポリシーを作成する」を参照してください。

準拠していない電子メール通知でサポートされる HTML 形式

Intune では、すべてのプラットフォームの準拠していない電子メール通知の HTML 形式がサポートされるようになりました。 サポートされている HTML タグを使用して、斜体、URL リンク、箇条書きなどの書式設定を組織のメッセージに追加できます。

詳細については、「 通知メッセージ テンプレートを作成する」を参照してください。

2024 年 2 月 26 日の週

Microsoft Intune Suite

新しい Microsoft Cloud PKI サービス

Microsoft Cloud PKI サービスを使用して、Intune で管理されるデバイスの証明書ライフサイクル管理を簡素化および自動化します。 Microsoft Cloud PKI は Microsoft Intune Suite の機能コンポーネントであり、スタンドアロン Intune アドオンとしても利用できます。 クラウドベースのサービスは、組織専用の PKI インフラストラクチャを提供し、オンプレミスのサーバー、コネクタ、またはハードウェアを必要としません。 Microsoft Cloud PKI は、SCEP 証明書デバイス構成プロファイルをサポートするすべての OS プラットフォームの証明書を自動的に発行、更新、取り消します。 発行された証明書は、証明書ベースの認証をサポートする Wi-Fi、VPN、およびその他のサービスの証明書ベースの認証に使用できます。 詳細については、「 Microsoft Cloud PKI の概要」を参照してください。

適用対象:

  • Windows
  • Android
  • iOS/iPadOS
  • macOS

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Cinebody by Super 6 LLC

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2024 年 2 月 19 日の週 (サービス リリース 2402)

アプリ管理

Android アプリのその他のアプリ構成アクセス許可

アプリ構成ポリシーを使用して Android アプリ用に構成できる 6 つの新しいアクセス許可があります。 以下にその例を示します。

  • 背景のボディ センサー データを許可する
  • メディア ビデオ (読み取り)
  • メディア イメージ (読み取り)
  • メディア オーディオ (読み取り)
  • 近くの Wifi デバイス
  • 近くのデバイス

Android アプリのアプリ構成ポリシーを使用する方法の詳細については、「管理対象 Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Bob HR by Hi Bob Ltd
  • ePRINTit SaaS by ePRINTit USA LLC
  • Microsoft Copilot by Microsoft Corporation

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

Windows で Intune 管理拡張機能に更新する

拡張された機能とバグ修正をサポートするには、Windows クライアントの Intune 管理拡張機能で .NET Framework 4.7.2 以降を使用します。 Windows クライアントが以前のバージョンの .NET Framework を引き続き使用する場合、Intune 管理拡張機能は引き続き機能します。 .NET Framework 4.7.2 は、Windows 10 1809 (RS5) 以降に含まれる 2018 年 7 月 10 日現在の Windows Update から入手できます。 .NET Framework の複数のバージョンを 1 つのデバイス上に共存させることができます。

適用対象:

  • Windows 10
  • Windows 11

デバイス構成

エンドポイント特権管理 (EPM) ポリシーで割り当てフィルターを使用する

割り当てフィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。 フィルターを使用すると、特定の OS バージョンのデバイスや特定の製造元を対象とするなど、ポリシーの割り当てスコープを絞り込みます。

エンドポイント特権管理 (EPM) ポリシーでフィルターを使用できます。

詳細については、以下を参照してください:

適用対象:

  • Windows 10
  • Windows 11

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

  • 制限

    • ライブ ボイスメールを許可する
    • 教室での画面の監視を強制する
    • 消去時に ESIM を強制的に保持する
macOS
  • 完全ディスク暗号化 > FileVault> セットアップ アシスタントで強制的に有効にする
  • 制限事項> 教室での画面の監視を強制する

詳細については、以下を参照してください:

最大 20 個のカスタム ADMX および ADML 管理テンプレートをインポートする

カスタム ADMX および ADML 管理テンプレートは、Microsoft Intune でインポートできます。 以前は、最大 10 個のファイルをインポートできました。 これで、最大 20 個のファイルをアップロードできます。

適用対象:

  • Windows 10
  • Windows 11

この機能の詳細については、「 カスタム ADMX および ADML 管理テンプレートを Microsoft Intune にインポートする (パブリック プレビュー)」を参照してください。

Android Enterprise デバイスで MAC アドレスのランダム化を更新するための新しい設定

Android Enterprise デバイス (デバイス>Manage devices>Configuration>Create>New policy>Android Enterprise for platform >Fully Managed、Dedicated、Corporate-Owned Work Profile>Wi-Fi for profile type) に新しい MAC アドレスランダム化設定があります。

Android 10 以降では、ネットワークに接続するときに、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 デバイスを MAC アドレスで追跡するのが難しいため、プライバシーにはランダム化された MAC アドレスを使用することをお勧めします。 ただし、ランダム化された MAC アドレスは、ネットワーク アクセス制御 (NAC) を含む静的 MAC アドレスに依存する機能を中断します。

次のようなオプションがあります:

  • デバイスの既定値を使用する: Intune はこの設定を変更または更新しません。 既定では、ネットワークに接続すると、デバイスは物理 MAC アドレスではなくランダム化された MAC アドレスを提示します。 ユーザーが設定に対して行った更新はすべて保持されます。

  • ランダム化された MAC を使用する: デバイスで MAC アドレスのランダム化を有効にします。 デバイスが新しいネットワークに接続すると、デバイスは物理 MAC アドレスではなく、ランダム化された MAC アドレスを提示します。 ユーザーがデバイスでこの値を変更すると、次の Intune 同期で ランダム化された MAC を使用 するようにリセットされます。

  • デバイス MAC を使用する: デバイスに、ランダム MAC アドレスではなく実際の Wi-Fi MAC アドレスを提示するように強制します。 この設定を使用すると、デバイスを MAC アドレスで追跡できます。 ネットワーク アクセス制御 (NAC) のサポートなど、必要な場合にのみこの値を使用します。 ユーザーがデバイスでこの値を変更すると、次の Intune 同期で デバイス MAC を使用 するようにリセットされます。

適用対象:

  • Android 13 以降

構成できる Wi-Fi 設定の詳細については、「 Microsoft Intune で Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定を追加する」を参照してください。

Windows 設定カタログの Windows 設定で Copilot をオフにする

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows for platform >プロファイルの種類の設定カタログ] に移動します。

  • Windows AI > Windows で Copilot をオフにする (ユーザー)

    • このポリシー設定を有効にした場合、ユーザーは Copilot を使用できません。 タスク バーに Copilot アイコンが表示されません。
    • このポリシー設定を無効にした場合、または構成していない場合、ユーザーは Copilot を使用できるときに使用できます。

この設定では、 ポリシー CSP - WindowsAI が使用されます。

ユーザー スコープとデバイス スコープを含む、Intune での設定カタログ ポリシーの構成の詳細については、「 設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

  • Windows 10 以降

Windows Autopilot の自己展開モードが一般公開されました

Windows Autopilot の自己展開モードが一般公開され、プレビュー対象外になりました。 Windows Autopilot 自己展開モードを使用すると、ユーザー操作をほとんどまたはまったく行っていない Windows デバイスを展開できます。 デバイスがネットワークに接続すると、デバイス プロビジョニング プロセスが自動的に開始されます。デバイスは Microsoft Entra ID に参加し、Intune に登録し、デバイスを対象とするすべてのデバイス ベースの構成を同期します。 自己展開モードでは、すべてのデバイス ベースの構成が適用されるまで、ユーザーがデスクトップにアクセスできないようにします。 OOBE 中に登録状態ページ (ESP) が表示されるため、ユーザーはデプロイの状態を追跡できます。 詳細については、以下を参照してください:

この情報は、 Windows Autopilot: 新機能でも公開されています。

事前プロビジョニングされた展開用の Windows Autopilot が一般公開されました

事前プロビジョニングされた展開用の Windows Autopilot が一般公開され、プレビュー対象外になりました。 事前にプロビジョニングされた展開用の Windows Autopilot は、ユーザーがデバイスにアクセスする前にデバイスがビジネス対応であることを確認する組織によって使用されます。 事前プロビジョニングにより、管理者、パートナー、または OEM は、すぐに使用できるエクスペリエンス (OOBE) から技術者フローにアクセスし、デバイスのセットアップを開始できます。 次に、ユーザー フェーズでプロビジョニングを完了したユーザーにデバイスが送信されます。 事前プロビジョニングでは、ほとんどの構成が事前に提供されるため、エンド ユーザーはデスクトップにすばやくアクセスできます。 詳細については、以下を参照してください:

この情報は、 Windows Autopilot: 新機能でも公開されています。

デバイスの登録

Windows Autopilot の事前プロビジョニング中に必要なアプリをインストールするための ESP 設定

[ 技術者フェーズで選択されたブロック アプリのみ失敗 する] 設定が、登録状態ページ (ESP) プロファイルで構成するために一般公開されるようになりました。 この設定は、 ブロックアプリ が選択されている ESP プロファイルにのみ表示されます。

詳細については「登録状態ページの設定」を参照してください。

macOS 自動デバイス登録用の新しいローカル プライマリ アカウント構成

Apple 自動デバイス登録を使用して Intune に登録する Mac のローカル プライマリ アカウント設定を構成します。 macOS 10.11 以降を実行しているデバイスでサポートされているこれらの設定は、新しい [アカウント設定] タブの下の新規および既存の登録プロファイルで使用できます。この機能を機能させるには、登録プロファイルをユーザーとデバイスのアフィニティと次のいずれかの認証方法で構成する必要があります。

  • 先進認証を使用したセットアップ アシスタント
  • セットアップ アシスタント (レガシ)

適用対象:

  • macOS 10.11 以降

macOS アカウント設定の詳細については、「 Intune で Apple 登録プロファイルを作成する」を参照してください。

macOS 自動デバイス登録の最終構成を待つ

一般公開された await final configuration では、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新しい登録プロファイルと既存の登録プロファイルを対象とするデバイスで機能し、次のいずれかの認証方法を使用して登録します。

  • 先進認証を使用したセットアップ アシスタント
  • セットアップ アシスタント (レガシ)
  • ユーザー デバイス アフィニティなし

適用対象:

  • macOS 10.11 以降

await final configuration を有効にする方法については、「 Apple 登録プロファイルを作成する」を参照してください。

デバイス管理

AOSP デバイスは、約 15 分ごとに新しいタスクと通知を確認します

Android (AOSP) 管理に登録されているデバイスでは、Intune は約 15 分ごとに新しいタスクと通知を確認しようとします。 この機能を使用するには、デバイスで Intune アプリ バージョン 24.02.4 以降を使用している必要があります。

適用対象:

  • Android (AOSP)

詳細については、以下を参照してください:

Microsoft Intune での Government クラウドの新しいデバイス管理エクスペリエンス

政府機関向けクラウドでは、Intune 管理センターに新しいデバイス管理エクスペリエンスがあります。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。

テナントが更新される前に新しいエクスペリエンスを試す場合は、[ デバイス>Overview] に移動し、[デバイスの 今後の変更をプレビューする ] を選択し、フィードバック通知バナーを提供して、[ 今すぐ試す] を選択します。

ドライバーの一括承認

Windows ドライバー更新ポリシーで一括アクションを使用できるようになりました。 一括操作では、複数のドライバー更新プログラムを同時に承認、一時停止、または拒否できるため、時間と労力を節約できます。

ドライバーを一括承認する場合、ドライバーが該当するデバイスで使用できるようになる日付を設定して、ドライバーを一緒にインストールすることもできます。

適用対象:

  • Windows 10
  • Windows 11

詳細については、「ドライバーの 一括更新プログラム」を参照してください。

App Control for Business ポリシーの制限が解決されました

デバイスあたりのアクティブなポリシーの数を 32 に制限した、以前に説明した App Control for Business ポリシー (WDAC) の制限は、Windows によって解決されます。 この問題には、デバイスで 32 を超えるポリシーがアクティブになっている場合に、起動停止エラーが 発生する可能性があります。

この問題は、2024 年 3 月 12 日以降に Windows セキュリティ更新プログラムがリリースされた Windows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows では、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取る可能性があります。

適用対象:

  • Windows 10 バージョン 1903 以降

Intune の App Control for Business ポリシーの詳細については、「App Control for Business ポリシーを使用して Windows デバイスの承認済みアプリを管理する」および「Microsoft Intune 用のマネージド インストーラー」を参照してください。

テナント管理

グループを除外するためのカスタマイズ ウィンドウのサポート

[カスタマイズ] ウィンドウで、ポリシーを割り当てるときに除外するグループの選択がサポートされるようになりました。 この設定は、Microsoft Intune 管理センターで [テナントの管理] >[カスタマイズ] を選択することで確認できます。

詳細については、「 Microsoft Intune でポリシーを割り当てる」を参照してください。

2024 年 1 月 29 日の週

Microsoft Intune Suite

Microsoft Intune Enterprise Application Management

Enterprise Application Management には、Intune で簡単にアクセスできる Win32 アプリケーションのエンタープライズ アプリ カタログが用意されています。 これらのアプリケーションをテナントに追加するには、エンタープライズ アプリ カタログからアプリケーションを選択します。 Enterprise App Catalog アプリを Intune テナントに追加すると、既定のインストール、要件、検出設定が自動的に提供されます。 これらの設定も変更できます。 Intune では、Microsoft ストレージで Enterprise App Catalog アプリをホストします。

詳細については、以下を参照してください:

Microsoft Intune Advanced Analytics

Intune Advanced Analytics は、組織内のエンド ユーザー エクスペリエンスを包括的に可視化し、データ駆動型の分析情報を使用して最適化します。 これには、デバイス クエリを使用したデバイスに関するほぼリアルタイムのデータ、カスタム デバイス スコープでの可視性の向上、バッテリ正常性レポート、デバイスの問題のトラブルシューティングのための詳細なデバイス タイムライン、デバイス資産全体の潜在的な脆弱性やリスクを特定するための異常検出が含まれます。

  • バッテリー正常性レポート

    バッテリー正常性レポートでは、組織のデバイス内のバッテリーの正常性と、ユーザー エクスペリエンスへの影響が可視化されます。 このレポートのスコアと分析情報は、IT 管理者が資産管理と購入の意思決定を行い、ハードウェア コストのバランスを取りながらユーザー エクスペリエンスを向上させることを目的としています。

  • 単一のデバイスでオンデマンド デバイス クエリを実行する

    Intune を使用すると、デバイスの状態に関するオンデマンド情報をすばやく取得できます。 選択したデバイスでクエリを入力すると、Intune はクエリをリアルタイムで実行します。

    返されたデータは、セキュリティ上の脅威への対応、デバイスのトラブルシューティング、またはビジネス上の意思決定に使用できます。

    適用対象:

    • Windows デバイス

Intune Advanced Analytics は、Microsoft Intune Suite の一部です。 柔軟性を高めるために、この新しい機能セットと既存の Advanced Analytics 機能は、Intune を含む Microsoft サブスクリプションの個々のアドオンとしても利用できるようになりました。

テナントまたは既存の Advanced Analytics 機能でデバイス クエリとバッテリー正常性レポートを使用するには、次のいずれかのライセンスが必要です。

  • Intune Advanced Analytics アドオン
  • Microsoft Intune Suite アドオン

詳細については、以下を参照してください:

2024 年 1 月 22 日の週 (サービス リリース 2401)

アプリ管理

マネージド Mac に最大 8 GB の DMG アプリと PKG アプリをインストールする

マネージド Mac で Intune を使用してインストールできる DMG アプリと PKG アプリのサイズ制限が増えました。 新しい制限は 8 GB で、macOS 用 Microsoft Intune 管理エージェントを使用してインストールされるアプリ (DMG およびアンマネージド PKG) に適用されます。

DMG アプリと PKG アプリの詳細については、「 Microsoft Intune に macOS DMG アプリを追加する 」および「 アンマネージド macOS PKG アプリを Microsoft Intune に追加する」を参照してください。

Surface Hub デバイス用のストア署名付き LOB アプリの Intune サポート

Intune では、ストア署名された LOB アプリ (単一ファイル .appx.msix.appxbundle.msixbundle) の Surface Hub デバイスへの展開がサポートされるようになりました。 ストア署名付き LOB アプリのサポートにより、ビジネス向け Microsoft Store の廃止後にオフライン ストア アプリを Surface Hub デバイスに展開できます。

SMS/MMS メッセージを特定のアプリにルーティングする

アプリ保護ポリシーを構成して、エンド ユーザーがポリシー管理アプリからリダイレクトされた後に SMS/MMS メッセージを送信する場合に使用する必要がある SMS/MMS アプリを決定できます。 エンド ユーザーが SMS/MMS メッセージを送信する目的で数値を選択すると、アプリ保護設定を使用して、構成された SMS/MMS アプリにリダイレクトされます。 この機能は、 メッセージング データを設定に転送することに 関連し、iOS/iPadOS プラットフォームと Android プラットフォームの両方に適用されます。

詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。

エンド ユーザー アプリの PIN リセット

PIN のアクセスを必要とするマネージド アプリの場合、許可されたエンド ユーザーはいつでもアプリ PIN をリセットできるようになりました。 iOS/iPadOS および Android アプリ保護ポリシーの [アクセスの PIN] 設定を選択することで、Intune でアプリの PIN を要求できます。

アプリ保護ポリシーの詳細については、「 アプリ保護ポリシーの概要」を参照してください。

アプリ パッケージの最大サイズ

Intune にアプリをアップロードするための最大パッケージ サイズは、有料のお客様向けに 8 GB から 30 GB に変更されます。 試用版テナントは引き続き 8 GB に制限されています。

詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス構成

Android Enterprise デバイスの場所を無効にする新しい設定

Android Enterprise デバイスでは、管理者が場所 (Devices>Manage devices>Configuration>Create>New policy>Android Enterprise for platform >Fully Managed、Dedicated、Corporate-Owned Work Profile > プロファイル の種類 >General のデバイス制限) を制御できるようにする新しい設定があります。

  • 場所: [ブロック] を 選択すると、デバイスの [場所 ] 設定が無効になり、ユーザーがオンにできなくなります。 この設定を無効にすると、デバイスの場所に依存するその他の設定 (デバイスの リモート 検索アクションなど) が影響を受けます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイス上の場所の使用が許可される場合があります。

適用対象:

  • Android Enterprise

構成できる設定の詳細については、「 Android Enterprise デバイス設定の一覧」を参照して、Intune を使用して企業所有デバイスの機能を許可または制限します。

iOS/iPadOS および macOS デバイスの設定カタログのマネージド ソフトウェア更新プログラムの日付と時刻の選択

設定カタログを使用すると、iOS/iPadOS デバイスと macOS デバイスに対して、日付と時刻 (デバイス>Manage デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >Settings catalog for profile type >Declarative Device Management > Software Update) を入力することで、管理された更新プログラムを適用できます。

以前は、日付と時刻を手動で入力する必要がありました。 次に、[ ターゲット ローカル日付時刻 ] 設定の日付と時刻の選択を行います。

宣言型デバイス管理 (DDM) > ソフトウェア更新プログラム:

  • ターゲット ローカル日付時刻

重要

2024 年 1 月のリリースより前にこの設定を使用してポリシーを作成した場合、この設定には値の Invalid Date が表示されます。 更新プログラムは引き続き正しくスケジュールされており、 Invalid Dateが表示されていても、最初に構成した値を使用します。

新しい日付と時刻を構成するには、 Invalid Date 値を削除し、日付時刻ピッカーを使用して新しい日付と時刻を選択します。 または、新しいポリシーを作成することもできます。

適用対象:

  • iOS/iPadOS
  • macOS

Intune でマネージド ソフトウェア更新プログラムを構成する方法の詳細については、「 設定カタログを使用してマネージド ソフトウェア更新プログラムを構成する」を参照してください。

デバイス管理

Microsoft Intune での新しいデバイス管理エクスペリエンス

Intune 管理センターでデバイス管理エクスペリエンスの更新プログラムをロールアウトしています。 [デバイス] 領域に一貫性のある UI が追加され、より多くの機能を備えたコントロールとナビゲーション構造が改善され、必要なものを迅速に見つけることができます。 以前はパブリック プレビューだった新しいエクスペリエンスは、今後数週間にわたって一般提供のために徐々にロールアウトされます。 パブリック プレビュー エクスペリエンスは、テナントが更新プログラムを受け取るまで引き続き使用できます。

この新しい管理センター エクスペリエンスの可用性は、テナントによって異なります。 いくつかの更新プログラムはすぐに表示されますが、多くのユーザーには数週間新しいエクスペリエンスが表示されない場合があります。 Government クラウドの場合、このエクスペリエンスの可用性は 2024 年 2 月下旬頃に推定されます。

ロールアウトのタイムラインにより、新しい管理センター レイアウトへの移行を容易にするために、ドキュメントをできるだけ早く新しいエクスペリエンスに更新しています。 この移行中にサイド バイ サイド コンテンツ エクスペリエンスを提供することはできず、新しいエクスペリエンスに合わせたドキュメントを提供することで、より多くの顧客に価値をもたらすと考えています。 新しいエクスペリエンスを試して、テナントを更新する前にドキュメント プロシージャと連携する場合は、[ デバイス>Overview] に移動し、[ デバイスの今後の変更をプレビューする] を読み取り、フィードバックを提供する通知バナーを選択し、[ 今すぐ試す] を選択します。

BlackBerry Protect Mobile でアプリ保護ポリシーがサポートされるようになりました

BlackBerry Protect Mobile (Cylance AI を利用) で Intune アプリ保護ポリシーを使用できるようになりました。 この変更により、Intune では、 登録されていないデバイスのモバイル アプリケーション管理 (MAM) シナリオに対して BlackBerry Protect Mobile がサポートされます。 このサポートには、条件付きアクセスでのリスク評価の使用と、登録されていないデバイスの条件付き起動設定の構成が含まれます。

CylancePROTECT Mobile コネクタ (旧称 BlackBerry Mobile) の構成中に、Android デバイスと iOS/iPadOS デバイスの両方で アプリ保護ポリシーの評価 を有効にするオプションを選択できるようになりました。

詳細については、「 BlackBerry Protect Mobile のセットアップ」および 「Intune で Mobile Threat Defense アプリ保護ポリシーを作成する」を参照してください。

デバイスのセキュリティ

Microsoft Defender for Endpoint によって管理されるデバイスの Intune Defender Update コントロール ポリシーのサポート

Microsoft Intune 管理センターから 、Microsoft Defenderfor Endpoint セキュリティ設定 管理機能を使用して管理するデバイスで、Defender Update コントロールのエンドポイント セキュリティ ポリシー (ウイルス対策ポリシー) を使用できるようになりました。

Windows 10、Windows 11、および Windows Server プラットフォームを使用する場合、次に適用されます。

  • Windows 10
  • Windows 11

このサポートが利用可能になると、Defender for Endpoint によって管理されている間にこのポリシーが割り当てられたが、Intune に登録されていないデバイスは、ポリシーの設定を適用するようになります。 ポリシーを確認して、ポリシーを受け取る予定のデバイスのみがポリシーを取得することを確認します。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • PrinterOn Print by PrinterOn, Inc. (iOS/iPadOS)
  • Intune by MFB Technologies, Inc. (iOS/iPadOS) に合わせる

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

デバイスのレポートの監視

Intune では、すべてのデバイス監視レポートの新しい一覧を表示できます。 これらのレポートは、 Microsoft Intune 管理センター で [ デバイス>Monitor] を選択することで確認できます。 [ モニター ] ウィンドウには、構成、コンプライアンス、登録、ソフトウェアの更新に関連するレポートが表示されます。 さらに、表示できるその他のレポート ( デバイス アクションなど) もあります。

詳細については、「Intune レポート」を参照してください。

エクスポートされたレポート データは検索結果を保持します

Intune では、レポート データをエクスポートするときにレポートの検索とフィルターの結果を維持できるようになりました。 たとえば、 非準拠デバイスと設定 レポートを使用し、OS フィルターを "Windows" に設定し、"PC" を検索すると、エクスポートされたデータには名前に "PC" が含まれる Windows デバイスのみが含まれます。 この機能は、 ExportJobs API を直接呼び出すときにも使用できます。

Microsoft Tunnel サーバーの診断ログの簡単なアップロード

Intune 管理センター内で 1 回のクリックで Intune を有効にし、収集し、Tunnel Gateway Server の詳細ログを 8 時間 Microsoft に送信できるようになりました。 その後、Microsoft と連携して Tunnel サーバーの問題を特定または解決するときに、詳細ログを参照できます。

対照的に、以前は詳細ログのコレクションでは、サーバーにサインオンし、手動タスクとスクリプトを実行して詳細ログを有効にして収集し、Microsoft に転送できる場所にコピーする必要があります。

この新機能を見つけるには、管理センターで [テナント管理>Microsoft Tunnel Gateway] に移動し>サーバーを選択> [ログ] タブを選択します。このタブには、[Send logs]\(ログの送信\) というラベルの付いた [詳細なサーバー ログの送信] という名前の新しいセクションと、Microsoft に収集および送信されたさまざまなログ セットを表示するリスト ビューがあります。

[ ログの送信 ] ボタンを選択すると、次のようになります。

  • Intune では、詳細ログを収集する前に、現在のサーバー ログをベースラインとしてキャプチャして送信します。
  • 詳細ログは、レベル 4 で自動的に有効になり、8 時間実行され、それらのログのキャプチャに関する問題を再現するための時間が提供されます。
  • 8 時間後、Intune は詳細ログを送信し、通常の操作のためにサーバーを既定の詳細レベル 0 (0) に復元します。 以前にログをより詳細なレベルで実行するように設定した場合は、ログの収集とアップロードが完了した後にカスタム詳細レベルを復元できます。
  • Intune がログを収集して送信するたびに、ボタンの下のリスト ビューが更新されます。
  • ボタンの下には、過去のログ送信の一覧が表示され、詳細レベルと、Microsoft を使用して特定のログセットを参照するときに使用できるインシデント ID が表示されます。

この機能の詳細については、「 Tunnel サーバーの診断ログを簡単にアップロードする」を参照してください。

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

変更の計画: Intune は iOS/iPadOS 16 以降をサポートするように移行しています

今年の後半には、Apple によって iOS 18 と iPadOS 18 がリリースされる予定です。 Intune ポータル サイトと Intune アプリ保護ポリシー (APP、MAM とも呼ばれます) を含む Microsoft Intune では、 iOS/iPadOS 18 リリースの直後に iOS 16/iPadOS 16 以降 が必要になります。

これは自分やユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS 16/iPadOS 16) にアップグレードできないデバイスがある可能性があります。

Microsoft 365 モバイル アプリが iOS 16/iPadOS 16 以降でサポートされていることを考えると、これは影響を受けない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。

iOS 16 または iPadOS 16 をサポートするデバイス (該当する場合) を確認するには、次の Apple ドキュメントを参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 サポートされている OS の最小バージョンは iOS 16/iPadOS 16 に変更され、許可されている OS バージョンは iOS 13/iPadOS 13 以降に変更されます。 詳細については、 ADE ユーザーレス サポートに関するこのステートメント を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理 (MDM) を使用するデバイスの場合は、[ デバイス>すべてのデバイス と OS でフィルター処理する] に移動します。 アプリ保護ポリシーを持つデバイスの場合は、 Apps>Monitor>App protection の状態 に移動し、 プラットフォーム とプラットフォームの バージョン 列を使用してフィルター処理します。

組織内でサポートされている OS バージョンを管理するには、MDM と APP の両方で Microsoft Intune コントロールを使用できます。 詳細については、「Intune を使用したオペレーティング システムのバージョンの管理」を参照してください。

変更の計画: Intune は今年後半に macOS 13 以降をサポートするように移行しています

今年の後半には、MacOS 15 Sequoia が Apple によってリリースされる予定です。 Microsoft Intune、ポータル サイト アプリ、Intune モバイル デバイス管理エージェントは、macOS 13 以降をサポートするように移行します。 iOS および macOS 用のポータル サイト アプリは統合アプリであるため、この変更は macOS 15 のリリース直後に行われます。 これは、既存の登録済みデバイスには影響しません。

これは自分やユーザーにどのような影響を与えますか?

この変更は、Intune で macOS デバイスを現在管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Ventura がこれらのコンピューターと互換性がある」を参照してください。

注:

macOS 12.x 以下に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも、引き続き登録されます。 macOS 12.x 以下を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、macOS 12.x 以前を実行しているデバイスを組織内のユーザーを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: リモート ヘルプの Intune エンドポイントへの更新

2024 年 5 月 30 日以降、Windows、Web、macOS のリモート ヘルプのエクスペリエンスを向上させるために、リモート ヘルプのプライマリ ネットワーク エンドポイントを https://remoteassistance.support.services.microsoft.com から https://remotehelp.microsoft.com に更新します。

これは自分やユーザーにどのような影響を与えますか?

リモート ヘルプを使用していて、新しいエンドポイントの https://remotehelp.microsoft.comを許可しないファイアウォール規則がある場合、管理者とユーザーは、リモート ヘルプで接続の問題や中断が発生する可能性があります。

さらに、Windows 上のリモート ヘルプ アプリを最新バージョンに更新する必要があります。 macOS 用のリモート ヘルプ アプリとリモート ヘルプ Web アプリに対してアクションは必要ありません。

どのように準備できますか?

新しいリモート ヘルプ エンドポイント ( https://remotehelp.microsoft.com) を含むようにファイアウォール規則を更新します。 Windows のリモート ヘルプの場合、ユーザーは 最新バージョン (5.1.124.0) に更新する必要があります。 ほとんどのユーザーは自動更新をオプトインしており、ユーザーからの操作なしで自動的に更新されます。 詳細については、「 Windows 用リモート ヘルプのインストールと更新」を参照してください。

追加情報 :

Android 用の最新のポータル サイト、iOS 用 Intune App SDK、および iOS 用 Intune アプリ ラッパーに更新する

2024 年 6 月 1 日から、Intune モバイル アプリケーション管理 (MAM) サービスを向上させるための更新が行われています。 この更新プログラムでは、アプリケーションが安全でスムーズに実行されるように、iOS でラップされたアプリ、iOS SDK 統合アプリ、Android 用ポータル サイトを最新バージョンに更新する必要があります。

重要

最新バージョンに更新しない場合、ユーザーはアプリの起動をブロックされます。

この変更に先立ち、更新する必要がある Microsoft アプリの場合、ユーザーがアプリを開くと、アプリを更新するためのブロック メッセージが表示されます。

Android の更新方法は、更新された SDK を持つ 1 つの Microsoft アプリケーションがデバイス上にあり、ポータル サイトが最新バージョンに更新されると、Android アプリが更新されることに注意してください。 そのため、このメッセージは iOS SDK/アプリ ラッパーの更新に焦点を当てています。 アプリがスムーズに実行されるように、常に Android アプリと iOS アプリを最新の SDK またはアプリ ラッパーに更新することをお勧めします。

これは自分やユーザーにどのような影響を与えますか?

サポートされている最新の Microsoft またはサード パーティのアプリ保護に更新されていないユーザーは、アプリの起動がブロックされます。 Intune ラッパーまたは Intune SDK を使用している iOS 基幹業務 (LOB) アプリケーションがある場合は、ユーザーがブロックされないように、Wrapper/SDK バージョン 17.7.0 以降を使用している必要があります。

どのように準備できますか?

2024 年 6 月 1 日より前に以下の変更を行う予定です。

  • 古いバージョンの Intune SDK またはラッパーを使用する iOS 基幹業務 (LOB) アプリは、v17.7.0 以降に更新する必要があります。
  • iOS アプリを対象とするポリシーを持つテナントの場合:
    • 最新バージョンの Microsoft アプリにアップグレードする必要があることをユーザーに通知します。 アプリ ストアには、最新バージョンのアプリがあります。 たとえば、Microsoft Teamsの最新バージョンについては、 こちらの Microsoft Outlook をご覧ください
    • さらに、次の 条件付き起動 設定を有効にするオプションがあります。
      • 最新のアプリをダウンロードできるように、iOS 15 以前を使用してユーザーに警告する 最小 OS バージョン 設定。
      • アプリが 17.7.0 より前の iOS 用 Intune SDK を使用している場合にユーザーをブロックする 最小 SDK バージョン 設定。
      • 古い Microsoft アプリでユーザーに警告を表示する 最小アプリバージョン 設定。 この設定は、対象アプリのみを対象とするポリシー内にある必要があることに注意してください。
  • Android アプリを対象とするポリシーを持つテナントの場合:
    • ポータル サイト アプリの最新バージョン (v5.0.6198.0) にアップグレードする必要があることをユーザーに通知します。
    • さらに、次の 条件付き起動 デバイス条件設定を有効にするオプションがあります。
      • 5.0.6198.0 より前のポータル サイト アプリバージョンを使用してユーザーに警告する 最小 ポータル サイトバージョン設定。

変更の計画: 2024 年 5 月の Intune App SDK Xamarin バインディングのサポート終了

Xamarin Bindings のサポートが終了すると、Intune は Xamarin アプリと Intune App SDK Xamarin Bindings のサポートを 2024 年 5 月 1 日から終了します。

これは自分やユーザーにどのような影響を与えますか?

Xamarin でビルドされた iOS アプリや Android アプリがあり、Intune App SDK Xamarin Bindings を使用してアプリ保護ポリシーを有効にする場合は、アプリを .NET MAUI にアップグレードします。

どのように準備できますか?

Xamarin ベースのアプリを .NET MAUI にアップグレードします。 Xamarin のサポートとアプリのアップグレードの詳細については、次のドキュメントを参照してください。

変更の計画: Microsoft Entra ID に登録されているアプリ ID を使用して PowerShell スクリプトを更新する

昨年、Microsoft Graph SDK ベースの PowerShell モジュールに基づく 新しい Microsoft Intune GitHub リポジトリ を発表しました。 従来の Microsoft Intune PowerShell サンプル スクリプト GitHub リポジトリが読み取り専用になりました。 さらに、 2024 年 5 月には、Graph SDK ベースの PowerShell モジュールの認証方法が更新されたため、グローバルな Microsoft Intune PowerShell アプリケーション (クライアント) ID ベースの認証方法が削除されます。

これは自分やユーザーにどのような影響を与えますか?

Intune PowerShell アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を使用している場合は、スクリプトが破損しないように Microsoft Entra ID 登録済みアプリケーション ID でスクリプトを更新する必要があります。

どのように準備できますか?

次の方法で PowerShell スクリプトを更新します。

  1. Microsoft Entra 管理センターで新しいアプリ登録を作成する。 詳細な手順については、「 クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。
  2. Intune アプリケーション ID (d1ddf0e4-d672-4dae-b554-9d5bdfd93547) を含むスクリプトを、手順 1 で作成した新しいアプリケーション ID で更新します。

詳細な手順については、「 powershell-intune-samples/更新アプリ登録 (github.com)」を参照してください。

2024 年 10 月にユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行

2024 年 10 月、Intune は次を含むユーザー ベースの管理方法で Android 10 以降をサポートする予定です。

  • Android Enterprise の個人所有の仕事用プロファイル
  • Android Enterprise の会社所有の仕事用プロファイル
  • 完全に管理されている Android Enterprise
  • Android オープン ソース プロジェクト (AOSP) ユーザー ベース
  • Android デバイス管理者
  • アプリ保護ポリシー (APP)
  • マネージド アプリのアプリ構成ポリシー (ACP)

今後、Android の最新の 4 つのメジャー バージョンのみをサポートするまで、毎年 10 月に 1 つまたは 2 つのバージョンのサポートを終了します。 この変更の詳細については、 2024 年 10 月のユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行に関するブログを参照してください。

注:

Android デバイス管理 (専用および AOSP ユーザーレス) と認定済み Android デバイスMicrosoft Teamsユーザーレスメソッドは、この変更の影響を受けることはありません。

これは自分やユーザーにどのような影響を与えますか?

ユーザーベースの管理方法 (上記に示すように) の場合、Android 9 以前を実行している Android デバイスはサポートされません。 サポートされていない Android OS バージョンのデバイスの場合:

  • Intune テクニカル サポートは提供されません。
  • Intune では、バグや問題に対処するための変更は行われません。
  • 新機能と既存の機能が機能することは保証されていません。

Intune では、サポートされていない Android OS バージョンでのデバイスの登録や管理は妨げられませんが、機能は保証されておらず、使用することは推奨されません。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

  • ユーザーに警告またはブロックするための最小 OS バージョン要件を持つ APP の 条件付き起動 設定を構成します。
  • デバイス コンプライアンス ポリシーを使用し、非準拠のアクションを設定して、非準拠としてマークする前にメッセージをユーザーに送信します。
  • 登録 制限を 設定して、古いバージョンを実行しているデバイスでの登録を禁止します。

詳細については、「 Microsoft Intune を使用してオペレーティング システムのバージョンを管理する」を参照してください。

変更の計画: Web ベースのデバイス登録は、iOS/iPadOS デバイス登録の既定の方法になります

現在、iOS/iPadOS 登録プロファイルを作成するときに、"ポータル サイトでのデバイス登録" が既定の方法として表示されます。 今後のサービス リリースでは、プロファイルの作成時に既定の方法が "Web ベースのデバイス登録" に変更されます。 さらに、 新しい テナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

注:

Web 登録の場合は、シングル サインオン (SSO) 拡張機能ポリシーを展開して Just-In Time (JIT) 登録を有効にする必要があります。詳細については、「 Microsoft Intune で Just-In Time registration を設定する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

これは、既定の方法として "Web ベースのデバイス登録" を表示する新しい iOS/iPadOS 登録プロファイルを作成するときのユーザー インターフェイスの更新であり、既存のプロファイルは影響を受けません。 新しいテナントの場合、登録プロファイルが作成されていない場合、ユーザーは Web ベースのデバイス登録を使用して登録します。

どのように準備できますか?

必要に応じて、ドキュメントとユーザー ガイダンスを更新します。 現在、ポータル サイトでデバイス登録を使用している場合は、Web ベースのデバイス登録に移動し、SSO 拡張機能ポリシーをデプロイして JIT 登録を有効にすることをお勧めします。

追加情報 :

Intune アプリ SDK を使用してラップされた iOS アプリと iOS アプリには、Azure AD アプリの登録が必要です

Intune モバイル アプリケーション管理 (MAM) サービスのセキュリティを強化するための更新プログラムを作成しています。 この更新プログラムでは、2024 年 3 月 31 日までに、iOS でラップされたアプリと SDK 統合アプリを Microsoft Entra ID (旧称 Azure Active Directory (Azure AD)) に登録して、MAM ポリシーを引き続き受け取る必要があります。

これは自分やユーザーにどのような影響を与えますか?

Azure AD に登録されていないアプリまたは SDK 統合アプリをラップしている場合、これらのアプリは MAM サービスに接続してポリシーを受け取ることができなくなり、ユーザーは登録されていないアプリにアクセスできなくなります。

どのように準備できますか?

この変更の前に、アプリを Azure AD に登録する必要があります。 詳細な手順については、以下を参照してください。

  1. 次の手順に従って、アプリを Azure AD に登録します。 アプリケーションを Microsoft ID プラットフォームに登録します。
  2. ここに記載されているように、カスタム リダイレクト URL をアプリ設定に追加します。
  3. Intune MAM サービスへのアクセス権をアプリに付与する手順については、 こちらを参照してください
  4. 上記の変更が完了したら、アプリを Microsoft Authentication Library (MSAL) 用に構成します。
    1. ラップされたアプリの場合: ドキュメントで説明されているように、Intune アプリ ラッピング ツールを使用して Azure AD アプリケーション クライアント ID をコマンド ライン パラメーターに追加します。 iOS アプリを Intune アプリ ラッピング ツールでラップする |Microsoft Learn -ac と -ar は必須パラメーターです。 各アプリには、これらのパラメーターの一意のセットが必要です。 -aa は、シングル テナント アプリケーションにのみ必要です。
    2. SDK 統合アプリについては、「 Microsoft Intune App SDK for iOS 開発者ガイド」 を参照してください。 |Microsoft Learn。 ADALClientId と ADALRedirectUri/ADALRedirectScheme が必須パラメーターになりました。 ADALAuthority は、シングル テナント アプリケーションにのみ必要です。
  5. アプリをデプロイします。
  6. 上記の手順を検証するには:
    1. "com.microsoft.intune.mam.IntuneMAMOnly.RequireAADRegistration" アプリケーション構成ポリシーをターゲットにし、[有効] に設定します - Intune App SDK マネージド アプリの構成ポリシー - Microsoft Intune |Microsoft Learn
    2. アプリ保護ポリシーをアプリケーションにターゲットします。 [アクセスの職場または学校アカウントの資格情報] ポリシーを有効にし、[(非アクティブな分数) 後にアクセス要件を再確認する] 設定を 1 のような低い数値に設定します。
  7. 次に、デバイスでアプリケーションを起動し、構成されたパラメーターを使用してサインイン (アプリの起動時に 1 分ごとに必要) が正常に行われるかどうかを確認します。
  8. 他の手順を実行する前に手順 #6 と #7 のみを実行した場合、アプリケーションの起動時にブロックされる可能性があることに注意してください。 パラメーターの一部が正しくない場合も、同じ動作が見られます。
  9. 検証手順が完了したら、手順 6 で行った変更を元に戻すことができます。

注:

Intune では間もなく、MAM を使用した iOS デバイスの Azure AD デバイス登録が必要になります。 条件付きアクセス ポリシーが有効になっている場合は、デバイスが既に登録されている必要があります。変更に気付くことはありません。 詳細については、「 Microsoft Entra 登録済みデバイス - Microsoft Entra |Microsoft Learn

変更の計画: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに移行する

Microsoft では、お客様が macOS デバイスを Jamf Pro の条件付きアクセス統合からデバイス コンプライアンス統合に移行できるように、移行計画で Jamf と協力してきました。 デバイス コンプライアンス統合では、新しい Intune パートナー コンプライアンス管理 API が使用されます。これには、パートナー デバイス管理 API よりも簡単なセットアップが含まれており、macOS デバイスが Jamf Pro によって管理されている iOS デバイスと同じ API に移行されます。 Jamf Pro の条件付きアクセス機能が構築されているプラットフォームは、2024 年 9 月 1 日以降サポートされなくなります。

一部の環境のお客様は、最初に移行できないことに注意してください。詳細と更新については、「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

macOS デバイスに Jamf Pro の条件付きアクセス統合を使用している場合は、Jamf のドキュメントに記載されているガイドラインに従って、デバイスをデバイス コンプライアンス統合に移行します。 macOS 条件付きアクセスから macOS デバイス コンプライアンスへの移行 – Jamf Pro ドキュメント

デバイス コンプライアンス統合が完了すると、一部のユーザーに Microsoft 資格情報の入力を求める 1 回限りのプロンプトが表示される場合があります。

どのように準備できますか?

該当する場合は、Jamf の指示に従って macOS デバイスを移行します。 ヘルプが必要な場合は、Jamf カスタマー サクセスにお問い合わせください。 詳細と最新の更新プログラムについては、ブログ記事「 サポート ヒント: Jamf macOS デバイスを条件付きアクセスからデバイス コンプライアンスに切り替える」を参照してください。

iOS/iPadOS 17 をサポートするように、最新の Intune App SDK と Intune App Wrapper for iOS に更新する

iOS/iPadOS 17 の今後のリリースをサポートするには、最新バージョンの Intune App SDK と iOS 用アプリ ラッピング ツールに更新して、アプリケーションが安全でスムーズに実行されるようにします。 さらに、条件付きアクセス許可 "アプリ保護ポリシーが必要" を使用している組織の場合、ユーザーは iOS 17 にアップグレードする前にアプリを最新バージョンに更新する必要があります。 詳細については、 ブログ「INTUNE App SDK、Wrapper、iOS アプリを MAM ポリシーを使用して iOS/iPadOS 17 をサポートする更新」を参照してください。

変更の計画: 2024 年 12 月に GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了する Intune

Google は非推奨になりました Android デバイス管理者の管理、管理機能の削除を続け、修正プログラムや機能強化は提供しなくなりました。 これらの変更により、Intune は 2024 年 12 月 31 日から Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了する予定です。 それまでは、Android 14 以前を実行しているデバイスでデバイス管理者の管理をサポートしています。 詳細については、 GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了する Microsoft Intune に関するブログを参照してください。

これは自分やユーザーにどのような影響を与えますか?

Intune が Android デバイス管理者のサポートを終了すると、GMS にアクセスできるデバイスは次の方法で影響を受けます。

  1. ユーザーは Android デバイス管理者にデバイスを登録できません。
  2. Intune では、新しい Android バージョンの変更に対処するためのバグ修正、セキュリティ修正、修正など、Android デバイス管理者の管理に変更や更新は行われません。
  3. Intune テクニカル サポートは、これらのデバイスをサポートしなくなります。

どのように準備できますか?

Android デバイス管理者へのデバイスの登録を停止し、影響を受けるデバイスを他の管理方法に移行します。 Intune レポートを確認して、影響を受ける可能性のあるデバイスまたはユーザーを確認できます。 [デバイス>すべてのデバイスに移動し、OS 列を Android (デバイス管理者) にフィルター処理してデバイスの一覧を表示します。

推奨される代替 Android デバイス管理方法と、GMS にアクセスしないデバイスへの影響に関する情報については、 GMS アクセスを持つデバイスの Android デバイス管理者向けの Microsoft Intune 終了サポートに関するブログを参照してください。

変更の計画: ビジネスおよび教育機関向け Microsoft Store アプリのサポートを終了する

2023 年 4 月、Intune での Microsoft Store for Business エクスペリエンスのサポートを終了しました。 これはいくつかの段階で発生します。 詳細については、「ビジネスおよび教育機関向け Microsoft Store アプリを Intune の Microsoft Store に追加する」を参照してください。

これは自分やユーザーにどのような影響を与えますか?

ビジネスおよび教育機関向け Microsoft Store アプリを使用している場合:

  1. 2023 年 4 月 30 日、Intune は Microsoft Store for Business サービスを切断します。 ビジネスおよび教育機関向け Microsoft Store アプリは Intune と同期できず、コネクタ ページは Intune 管理センターから削除されます。
  2. 2023 年 6 月 15 日、Intune は、デバイス上のオンラインおよびオフラインの Microsoft Store for Business および Education アプリの適用を停止します。 ダウンロードしたアプリケーションは、サポートが制限されたデバイスに残ります。 ユーザーは引き続きデバイスからアプリにアクセスできますが、アプリは管理されません。 既存の同期済み Intune アプリ オブジェクトは、管理者が同期されたアプリとその割り当てを表示できるようにするために残ります。 さらに、Microsoft Graph API syncMicrosoftStoreForBusinessApps を使用してアプリを同期することはできません。また、関連する API プロパティには古いデータが表示されます。
  3. 2023 年 9 月 15 日に、Microsoft Store for Business および Education アプリが Intune 管理センターから削除されます。 デバイス上のアプリは、意図的に削除されるまで保持されます。 Microsoft Graph API microsoftStoreForBusinessApp は、約 1 か月後に使用できなくなります。

ビジネスおよび教育機関向け Microsoft Store の廃止は 、2021 年に発表されました。 ビジネスおよび教育機関向け Microsoft Store ポータルが廃止されると、管理者は、同期された Microsoft Store for Business および Education アプリの一覧を管理したり、Microsoft Store for Business および Education ポータルからオフライン コンテンツをダウンロードしたりできなくなります。

どのように準備できますか?

Intune の新しい Microsoft Store アプリ エクスペリエンスを通じてアプリを追加することをお勧めします。 Microsoft Store でアプリを利用できない場合は、ベンダーからアプリ パッケージを取得し、基幹業務 (LOB) アプリまたは Win32 アプリとしてインストールする必要があります。 手順については、次の記事を参照してください。

関連情報

変更の計画: Windows Information Protection のサポートを終了する

Microsoft Windows は、Windows Information Protection (WIP) のサポートを終了すると 発表しました 。 Microsoft Intune 製品ファミリは、WIP の管理と展開に関する今後の投資を中止する予定です。 将来の投資を制限することに加えて、2022 年の年末に 登録シナリオのない WIP のサポートを削除しました。

これは自分やユーザーにどのような影響を与えますか?

WIP ポリシーを有効にしている場合は、これらのポリシーをオフまたは無効にする必要があります。

どのように準備できますか?

WIP ポリシーによって保護されているドキュメントに組織内のユーザーがアクセスできないように、WIP を無効にすることをお勧めします。 詳しくは、「 サポート ヒント: Windows Information Protection のサポート 終了ガイダンス 」をご覧ください。デバイスから WIP を削除するための詳細とオプションについては、こちらをご覧ください。

変更の計画: Intune は、サポートされていないバージョンの Windows に対するポータル サイトのサポートを終了します

Intune は、サポートされている Windows 10 バージョンの Windows 10 ライフサイクルに従います。 現在、Modern Support ポリシーの対象外である Windows バージョン用の関連する Windows 10 ポータル サイトのサポートを削除しています。

これは自分やユーザーにどのような影響を与えますか?

Microsoft はこれらのオペレーティング システムをサポートしなくなったため、この変更による影響はない可能性があります。 OS またはデバイスを既にアップグレードしている可能性があります。 この変更は、サポートされていない Windows 10 バージョンをまだ管理している場合にのみ影響します。

この変更が影響する Windows およびポータル サイトのバージョンは次のとおりです。

  • Windows 10 バージョン 1507、ポータル サイト バージョン 10.1.721.0
  • Windows 10 バージョン 1511、ポータル サイト バージョン 10.1.1731.0
  • Windows 10 バージョン 1607、ポータル サイト バージョン 10.3.5601.0
  • Windows 10 バージョン 1703、ポータル サイト バージョン 10.3.5601.0
  • Windows 10 バージョン 1709、すべてのポータル サイト バージョン

これらのポータル サイトのバージョンはアンインストールしませんが、Microsoft Store から削除し、サービス リリースのテストを停止します。

サポートされていないバージョンの Windows 10 を引き続き使用すると、ユーザーは、最新のセキュリティ更新プログラム、新機能、バグ修正、遅延の改善、アクセシビリティの改善、およびパフォーマンスへの投資を利用できなくなります。 System Center Configuration Manager と Intune を使用してユーザーを共同管理することはできません。

どのように準備できますか?

Microsoft Intune 管理センターで、 検出されたアプリ 機能を使用して、これらのバージョンのアプリを検索します。 ユーザーのデバイスでは、ポータル サイトのバージョンがポータル サイトの [設定] ページに表示されます。 サポートされている Windows およびポータル サイトのバージョンに更新します。