Microsoft Intune の新機能 - 前の月

2023 年 12 月 11 日の週 (サービス リリース 2312)

アプリ管理

マネージド macOS デバイスへのアンマネージド PKG 型アプリケーションの追加のサポートが一般公開されました

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG 型アプリケーションをマネージド macOS デバイスにアップロードして展開できるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune 管理センターで PKG アプリを追加するには、アプリの種類として [アプリ>macOS>Add>macOS アプリ (PKG) を選択します。

適用対象:

• macOS

詳細については、「 アンマネージド macOS PKG アプリを Microsoft Intune に追加する」を参照してください。 マネージド PKG 型アプリを展開するには、引き続き macOS 基幹業務 (LOB) アプリを Microsoft Intune に追加できます。 macOS デバイス用の Intune MDM エージェントの詳細については、「 macOS 用 Microsoft Intune 管理エージェント」を参照してください。

政府のクラウド環境と中国の 21 Vianet でサポートされている Windows MAM

米国政府機関コミュニティ (GCC)、米国政府機関コミュニティ (GCC) High、および国防総省 (DoD) 環境の顧客テナントは、Windows MAM を使用できるようになりました。 関連情報については、「 GCC High および DoD 環境での Intune を使用したアプリの展開」および 「 Windows MAM のデータ保護」を参照してください。

さらに、Windows MAM は、21Vianet が中国で運営する Intune で利用できます。 詳細については、 中国の 21Vianet が運営する Intune に関するページを参照してください。

デバイス構成

Microsoft Edge v117 のセキュリティ ベースラインを更新しました

Microsoft Edge バージョン v117 の Intune セキュリティ ベースラインの新しいバージョンをリリースしました。 この更新プログラムでは、Microsoft Edge のベスト プラクティス構成を引き続き維持できるように、最新の設定がサポートされます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

デバイス管理

非準拠メール通知での変数のサポート

変数を使用して、ユーザーのデバイスが非準拠になったときに送信される電子メール通知をカスタマイズします。 テンプレートに含まれる変数 ( {{username}} や {{devicename}}など) は、ユーザーが受信する電子メールの実際のユーザー名またはデバイス名に置き換えられます。 変数はすべてのプラットフォームでサポートされています。

サポートされている変数の詳細と一覧については、「 通知メッセージ テンプレートの作成」を参照してください。

Microsoft Defender for Endpoint コネクタのレポートの視覚化を更新しました

Microsoft Defender for Endpoint コネクタのレポート視覚化を更新しました。 この レポートの視覚化 では、Defender CSP からの状態に基づいて Defender for Endpoint にオンボードされているデバイスの数が表示され、バーを使用してさまざまな状態値を持つデバイスの割合を表す他の最近のレポート ビューに視覚的に合わせて調整されます。

デバイスのセキュリティ

Windows デバイスのウイルス対策ポリシーに追加されたウイルス対策スキャンをスケジュールするための新しい設定

Microsoft Defender ウイルス対策プロファイルに、Windows 10 および Windows 11 デバイスに適用されるエンドポイント セキュリティウイルス対策ポリシーの 2 つの設定を追加しました。 これら 2 つの設定が連携して、最初にデバイスのウイルス対策スキャンのランダムな開始時刻のサポートを有効にしてから、ランダム化されたスキャンの開始を開始できる時間の範囲を定義します。 これらの設定は、Intune によって管理されるデバイスと、 Defender for Endpoint セキュリティ設定管理 シナリオで管理されるデバイスでサポートされます。

• RandomizeScheduleTaskTimes – この設定を使用すると、デバイスでのスキャン開始時刻をランダム化できます。
• SchedulerRandomizationTime – この設定では、ランダムな開始時刻の境界を設定できます。

Microsoft Defender ウイルス対策プロファイルに追加されるだけでなく、両方の設定を 設定カタログから使用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Android Enterprise の VPN プロファイルでの直接プロキシ除外リストに対する Microsoft Tunnel のサポート

Microsoft Tunnel for Android デバイスの VPN プロファイルを構成するときに、Intune でプロキシ除外リストの構成がサポートされるようになりました。 除外リストを使用すると、プロキシ自動構成 (PAC) ファイルを使用することなく、プロキシ設定から特定のドメインを除外できます。 プロキシの除外リストは、Microsoft Tunnel と Microsoft Tunnel for MAM の両方で使用できます。

プロキシの除外リストは、1 つのプロキシを使用する環境でサポートされています。 複数のプロキシ サーバーを使用する場合、除外リストは適していません。また、 .PAC ファイルを引き続き使用する必要があります。

適用対象:

• Android Enterprise

TLS 証明書失効を報告する Microsoft Tunnel サーバーの正常性メトリック

TLS 証明書失効という名前の Microsoft Tunnel の新しい正常性メトリックを追加しました。 この新しい正常性メトリックは、TLS 証明書で定義されているオンライン証明書状態プロトコル (OCSP) または CRL アドレスにアクセスすることで、トンネル サーバー TLS 証明書の状態を報告します。 この新しいチェックの状態は、Microsoft Intune 管理センターのすべての正常性チェックで表示できます。 テナント管理>Microsoft Tunnel Gateway>Health 状態、サーバーの選択、そのサーバー の [正常性チェック ] タブの順に選択します。

このメトリックは、既存の Tunnel Health チェックの一部として実行され、次の状態をサポートします。

• 正常: TLs 証明書が取り消されない
• 警告: TLS 証明書が失効しているかどうかを確認できません
• 異常: TLS 証明書が取り消され、更新する必要があります

TLS 証明書失効チェックの詳細については、「 Microsoft Tunnel の監視」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Akumina EXP by Akumina Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 27 日の週

アプリ管理

Android デバイス用の Microsoft 365 (Office) でオフライン キャッシュを構成する

アプリ保護ポリシーで [ローカル ストレージに名前を付けて保存] 設定が [ブロック済み] に設定されている場合は、アプリ構成ポリシーの構成キーを使用して、オフライン キャッシュを有効または無効にすることができます。 この設定は、Android 上の Microsoft 365 (Office) アプリにのみ適用されます。

詳細については、「 Microsoft 365 (Office)のデータ保護設定」を参照してください。

デバイス上の Win32 アプリの猶予期間設定

猶予期間設定の Win32 アプリが展開されているデバイスでは、管理者権限のない権限の低いユーザーが猶予期間 UX と対話できるようになりました。 デバイス上の管理者は、引き続きデバイス上の猶予期間 UX と対話できます。

猶予期間の動作の詳細については、「 Win32 アプリの可用性と通知を設定する」を参照してください。

マネージド ホーム画面アプリの構成の追加

パブリック プレビューでは、Microsoft Managed Home Screen (MHS) が更新され、コア ワークフローとユーザー エクスペリエンスが向上します。 ユーザー インターフェイスの変更に加えて、管理者が表示するデバイス識別属性を構成できる新しいトップ バー ナビゲーションがあります。 さらに、ユーザーは、上部のバーでアクセス許可が要求されたときに、設定にアクセスしたり、サインイン/サインアウトしたり、通知を表示したりできます。

さらに設定を追加して、Android Enterprise 用の Managed Home Screen アプリを構成できます。 Intune では、Android Enterprise アプリ構成ポリシーで次の設定がサポートされるようになりました。

• 更新されたユーザー エクスペリエンスを有効にする
• トップ バーのプライマリ要素
• トップ バーのセカンダリ要素
• トップ バーのユーザー名スタイル

詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

Intune APP SDK for .NET MAUI

.NET MAUI 用 Intune APP SDK を使用すると、 .NET マルチプラットフォーム アプリ UI を組み込んだ Android または iOS アプリを Intune 用に開発できます。 このフレームワークを使用して開発されたアプリを使用すると、 Intune モバイル アプリケーション管理を適用できます。 Android での .NET MAUI のサポートについては、「 Intune App SDK for .NET MAUI - Android」を参照してください。 iOS での .NET MAUI のサポートについては、「 Intune App SDK for .NET MAUI - iOS」を参照してください。

2023 年 11 月 13 日の週 (サービス リリース 2311)

アプリ管理

Android、Android AOSP 用アプリに追加された新しい猶予期間の状態

Android 用 Intune ポータル サイト アプリと Android AOSP 用 Microsoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスの猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。

詳細については、次の記事を参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• AOSP の Intune アプリのコンプライアンスを確認する
• Android 用ポータル サイトでコンプライアンスを確認する

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>Configuration>Create>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログに移動します。

iOS/iPadOS

マネージド設定:

• データ ローミング
• 個人用ホットスポット
• 音声ローミング (非推奨): この設定は iOS 16.0 では非推奨です。 データ ローミングは、置き換え設定です。

共有された iPad

マネージド設定:

• 診断申請

macOS

Microsoft Defender > ウイルス対策エンジン:

• パッシブ モードを有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• リアルタイム保護を有効にする (非推奨): この設定は非推奨です。 適用レベルは置換設定です。
• 実施レベル

Windows Subsystem for Linux を管理するための設定が Windows 設定カタログで使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

Windows Subsystem for Linux (WSL) の Windows 設定カタログに新しい設定があります。 これらの設定により、管理者は WSL とコントロールの Linux インスタンスへのデプロイを管理できるように、WSL との Intune 統合が有効になります。

これらの設定を見つけるには、Microsoft Intune 管理センターで[デバイス>Configuration>Create>New Policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログに移動します。

Linux 用 Windows サブシステム:

• カーネル デバッグを許可する
• カスタム ネットワーク構成を許可する
• カスタム システム配布構成を許可する
• カーネル コマンド ラインの構成を許可する
• カスタム カーネル構成を許可する
• WSL1 を許可する
• Linux 用 Windows サブシステムを許可する
• Linux 用 Windows サブシステムの受信トレイ バージョンを許可する
• ユーザー設定ファイアウォールの構成を許可する
• 入れ子になった仮想化を許可する
• パススルー ディスクのマウントを許可する
• デバッグ シェルを許可する

適用対象:

• Windows 10
• Windows 11

デバイスの登録

共有デバイス モードでの iOS/iPadOS デバイスの登録が一般公開されました

Microsoft Intune 管理センターで構成を一般公開し、共有デバイス モードの iOS/iPadOS デバイスの自動デバイス登録を設定します。 共有デバイス モードは Microsoft Entra の機能であり、現場担当者は 1 日を通して 1 つのデバイスを共有し、必要に応じてサインインおよびサインアウトできます。

詳細については、「 共有デバイス モードでデバイスの登録を設定する」を参照してください。

デバイス管理

管理センターでの新しいデバイス エクスペリエンスの改善 (パブリック プレビュー)

Microsoft Intune 管理センターの新しいデバイス エクスペリエンスに次の変更を加えた。

• プラットフォーム固有のオプションへのその他のエントリ ポイント: [デバイス ] ナビゲーション メニューからプラットフォーム ページにアクセスします。
• 監視レポートへのクイック エントリ: メトリック カードのタイトルを選択して、対応する監視レポートに移動します。
• ナビゲーション メニューの改善: 移動時により多くの色とコンテキストを提供するために、アイコンがに戻されました。

Microsoft Intune 管理センターのトグルを反転して、パブリック プレビュー中に新しいエクスペリエンスを試し、フィードバックを共有します。

詳細については、以下を参照してください:

• 新しい Microsoft Intune デバイス エクスペリエンス - Microsoft Tech Community
• 新しいデバイス エクスペリエンスを試す - Microsoft Learn

デバイスのセキュリティ

Linux ウイルス対策ポリシー テンプレートの追加設定

Linux デバイスの Microsoft Defender ウイルス対策 テンプレートに次の設定を追加することで、Linux のサポートを拡張しました。

• cloudblocklevel
• scanarhives
• scanafterdefinitionupdate
• maximumondemandscanthreads
• behaviormonitoring
• enablefilehashcomputation
• networkprotection
• enforcementlevel
• nonexecmountpolicy
• unmonitoredfilesystems

Linux 用 Microsoft Defender ウイルス対策テンプレートは、 Intune によって管理されるデバイスと、 Defender for Endpoint セキュリティ設定管理 シナリオを通じて Defender によってのみ管理されるデバイスでサポートされています。

Microsoft 365 Apps for Enterprise のセキュリティ ベースラインを更新しました

Microsoft 365 Apps for Enterprise バージョン 2306 の Intune セキュリティ ベースラインの新しいバージョンをリリースしました。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 組織の要件を満たすように、既定のベースラインを変更できます。

また、このベースラインの リファレンス記事 も更新されました。このベースライン バージョンに含まれる設定の既定の構成を確認できます。

Linux と macOS エンドポイントセキュリティウイルス対策ポリシーで見つかった 2 つの設定の非推奨と置換

macOS と Linux の両方の Microsoft Defender ウイルス対策プロファイルの [ウイルス対策エンジン] カテゴリには、非推奨の 2 つの設定があります。 これらのプロファイルは、Intune のエンドポイント セキュリティウイルス対策ポリシーの一部として使用できます。

プラットフォームごとに、非推奨の 2 つの設定が 1 つの設定で置き換えられます。 この新しい設定は、Microsoft Defender for Endpoint がデバイス構成を管理する方法に合わせて調整されます。

非推奨の 2 つの設定を次に示します。

• [リアルタイム保護を有効にする ] が [ リアルタイム保護を有効にする] と表示されるようになりました (非推奨)
• [パッシブ モードを有効にする] が [パッシブ モードを有効にする] として表示されるようになりました (非推奨)

非推奨の 2 つの設定を置き換える新しい設定:

• 適用レベル - 既定では、[適用レベル] は [パッシブ] に設定され、[ リアルタイム ] と [オンデマンド] のオプションがサポートされます。

これらの設定は、各プラットフォームの Intune 設定カタログ からも使用できます。古い設定も非推奨としてマークされ、新しい設定に置き換えられます。

この変更により、非推奨の設定のいずれかが構成 されている デバイスは、デバイスが新しい設定の 適用レベルの対象になるまで、その構成を適用し続けます。 適用レベルの対象になると、非推奨の設定はデバイスに適用されなくなります。

非推奨の設定は、今後 Intune に更新される予定で、ウイルス対策プロファイルと設定カタログから削除されます。

適用対象:

• Linux
• macOS

Microsoft Defender ファイアウォール プロファイルの名前が Windows ファイアウォールに変更される

Windows でのファイアウォールのブランド化の変更に合わせて、エンドポイント セキュリティ ファイアウォール ポリシーの Intune プロファイルの名前を更新しています。 名前に Microsoft Defender Firewall があるプロファイルでは、Windows ファイアウォールに置き換えます。

次のプラットフォームには影響を受けるプロファイルがあり、プロファイル名のみがこの変更の影響を受けます。

• Windows 10 以降 (ConfigMgr)
• Windows 10、Windows 11 および Windows Server

Windows Hyper-V のファイアウォール設定を管理するための Windows ファイアウォールのエンドポイント セキュリティ ファイアウォール ポリシー

エンドポイント セキュリティ ファイアウォール ポリシーの Windows ファイアウォール プロファイル (旧称 Microsoft Defender Firewall) に新しい設定を追加しました。 新しい設定を使用して、Windows Hyper-V 設定を管理できます。 新しい設定を構成するには、 Microsoft Intune 管理センターで、[ エンドポイント セキュリティ>ファイアウォール> プラットフォーム: Windows 10、Windows 11、および Windows Server> プロファイル: Windows ファイアウォールに移動します。

ファイアウォール カテゴリには、次の設定が追加されます。

• ターゲット - ターゲット が Linux 用 Windows サブシステムに設定されている場合、次の子設定が適用されます。
  • パブリック ネットワーク ファイアウォールを有効にする
  • プライベート ネットワーク ファイアウォールを有効にする
  • ホスト ポリシーのマージを許可する
  • ドメイン ネットワーク ファイアウォールを有効にする
  • ループバックを有効にする

適用対象:

• Windows 10
• Windows 11

これらの設定の詳細については、「セキュリティが 強化された Windows ファイアウォール」を参照してください。

Windows Hyper-V ファイアウォール規則の新しいエンドポイント セキュリティ ファイアウォール ポリシー プロファイル

エンドポイント セキュリティ ファイアウォール ポリシーの Windows 10、Windows 11、および Windows Server プラットフォーム パスから見つけることができる Windows Hyper-V ファイアウォール規則という名前の新しいプロファイルをリリースしました。 Windows サブシステム for Linux (WSL) や Windows Subsystem for Android (WSA) などのアプリケーションなど、Windows 上の特定の Hyper-V コンテナーに適用されるファイアウォール設定と規則を管理するには、このプロファイルを使用します。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Hey DAN for Intune by Civicom, Inc.
• Microsoft Azure by Microsoft Corporation (iOS)
• KeePassium Labs (iOS) による Intune 用 KeePassium

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 11 月 6 日の週

アプリ管理

iOS ポータル サイトの最小バージョン更新プログラム

ユーザーは、iOS ポータル サイトの v5.2311.1 に更新する必要があります。 [App Store デバイスの制限を 使用してアプリのインストールをブロックする ] 設定を有効にした場合は、この設定を使用する関連デバイスに更新プログラムをプッシュする必要がある可能性があります。 それ以外の場合、アクションは必要ありません。

ヘルプデスクがある場合は、ポータル サイト アプリを更新するためのプロンプトを認識させる必要がある場合があります。 ほとんど場合、ユーザーはアプリの更新を自動に設定しているため、何もしなくても更新されたポータル サイト アプリを受け取ります。 以前のバージョンのアプリを持つユーザーは、最新のポータル サイト アプリに更新するように求められます。

デバイスのセキュリティ

Defender for Endpoint のセキュリティ設定の管理の強化と Linux と macOS のサポートが一般公開されています

Defender for Endpoint セキュリティ設定管理 オプトイン パブリック プレビューで 導入された機能強化が一般公開されました。

この変更により、セキュリティ設定管理の既定の動作には、Microsoft Defender for Endpoint でプレビュー機能のサポートを有効にすることなく、オプトイン プレビューに追加されたすべての動作が含まれます。 これには、Linux と macOS 用の次のエンドポイント セキュリティ プロファイルの一般提供とサポートが含まれます。

Linux:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

MacOS:

• Microsoft Defender ウイルス対策
• Microsoft Defender ウイルス対策の除外
• エンドポイントの検出および応答

詳細については、Intune ドキュメントの 「Microsoft Defender for Endpoint Security の設定管理 」を参照してください。

デバイス管理

機能更新プログラムとレポートでは、Windows 11 ポリシーがサポートされています

機能更新ポリシーの新しい設定を使用すると、組織はアップグレードの対象となるデバイスに Windows 11 を展開し、アップグレードの対象ではないデバイスが 1 つのポリシーで最新の Windows 10 機能更新プログラムに適用されるようにすることができます。 そのため、管理者は、対象デバイスと非適格デバイスのグループを作成または管理する必要はありません。

機能更新プログラムの詳細については、「 Windows 10 以降の機能更新プログラム」を参照してください。

2023 年 10 月 30 日の週

デバイスのセキュリティ

Android および iOS/iPadOS デバイス上の MAM 用 Microsoft Tunnel で使用できる Microsoft Edge の厳格なトンネル モード

Intune では、Android および iOS/iPadOS デバイスでモバイル アプリケーション管理 (MAM) に Microsoft Tunnel を使用できます。 MAM トンネルを使用すると、非管理対象デバイス (Intune に登録されていないデバイス) は、オンプレミスのアプリとリソースにアクセスできます。

Microsoft Edge 用に構成できる新しい 厳格なトンネル モード 機能があります。 ユーザーが組織アカウントを使用して Microsoft Edge にサインインすると、VPN が接続されていない場合は、 厳格なトンネル モード によってインターネット トラフィックがブロックされます。 VPN が再接続すると、インターネット閲覧が再度使用できるようになります。

この機能を構成するには、Microsoft Edge アプリ構成ポリシーを作成し、次の設定を追加します。

• キー: com.microsoft.intune.mam.managedbrowser.StrictTunnelMode
• 値: True

適用対象:

• Android Enterprise バージョン 10 以降
• iOS/iPadOS バージョン 14 以降

詳細については、以下を参照してください:

• モバイル アプリケーション管理のための Microsoft Tunnel
• MAM 用 Microsoft Tunnel - Android
• MICROSOFT Tunnel for MAM - iOS/iPadOS

2023 年 10 月 23 日の週 (サービス リリース 2310)

アプリ管理

Android ポータル サイト アプリのユーザー向けの更新

ユーザーがバージョン 5.0.5333.0 (2021 年 11 月にリリース) より下のバージョンの Android ポータル サイト アプリを起動すると、Android ポータル サイト アプリの更新を促すプロンプトが表示されます。 古い Android ポータル サイトバージョンのユーザーが、Authenticator アプリの最新バージョンを使用して新しいデバイス登録を試みると、プロセスが失敗する可能性があります。 この動作を解決するには、Android ポータル サイト アプリを更新します。

iOS デバイスの最小 SDK バージョンの警告

iOS デバイスの iOS 条件付き起動設定の 最小 SDK バージョン に 、警告 アクションが含まれるようになりました。 このアクションは、最小 SDK バージョン要件が満たされていない場合にエンド ユーザーに警告します。

詳細については、「 iOS アプリ保護ポリシー設定」を参照してください。

Apple LOB およびストア アプリの最小 OS

最小オペレーティング システムを、Apple 基幹業務アプリと iOS/iPadOS ストア アプリの両方の最新の Apple OS リリースに構成できます。 Apple アプリの最小オペレーティング システムは、次のように設定できます。

• iOS/iPadOS 17.0 for iOS/iPadOS 基幹業務アプリ
• macOS 基幹業務アプリ用 macOS 14.0
• iOS/iPadOS 17.0 for iOS/iPadOS ストア アプリ

適用対象:

• iOS/iPadOS
• macOS

Android (AOSP) は基幹業務 (LOB) アプリをサポートします

必須の LOB アプリを AOSP デバイスにインストールおよびアンインストールするには、[ 必須 ] と [ アンインストール ] グループの割り当てを使用します。

適用対象:

• Android

LOB アプリの管理の詳細については、「 Android 基幹業務アプリを Microsoft Intune に追加する」を参照してください。

アンマネージド macOS PKG アプリの構成スクリプト

アンマネージド macOS PKG アプリでプレインストールスクリプトとインストール後スクリプトを構成できるようになりました。 この機能により、カスタム PKG インストーラーに対する柔軟性が向上します。 これらのスクリプトの構成は省略可能であり、macOS デバイス v2309.007 以降の Intune エージェントが必要です。

アンマネージド macOS PKG アプリへのスクリプトの追加の詳細については、「アン マネージド macOS PKG アプリを追加する」を参照してください。

デバイス構成

FSLogix 設定は、[設定カタログ] と [管理用テンプレート] で使用できます

FSLogix 設定は、[設定カタログ] と [管理用テンプレート (ADMX)] で構成できます。

以前は、Windows デバイスで FSLogix 設定を構成するために、Intune の ADMX インポート機能を使用してインポートしました。

適用対象:

• Windows 10
• Windows 11

これらの機能の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• FSLogix とは?

Android Enterprise デバイスで強化されたアクセス許可を構成するマネージド Google Play アプリで委任されたスコープを使用する

マネージド Google Play アプリでは、委任されたスコープを使用してアプリに強化されたアクセス許可を付与できます。

アプリに委任されたスコープが含まれている場合は、デバイス構成プロファイル (Devices>Manage devices>Configuration>Create>New policy>Android Enterprise for platform >Fully Managed、Dedicated、および Corporate-Owned Work Profile>Device Restrictions for profile type >Applications):

• 他のアプリによる証明書のインストールと管理を許可する: 管理者は、このアクセス許可に対して複数のアプリを選択できます。 選択したアプリには、証明書のインストールと管理へのアクセス権が付与されます。
• このアプリによる Android セキュリティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリにセキュリティ ログへのアクセス権が付与されます。
• このアプリによる Android ネットワーク アクティビティ ログへのアクセスを許可する: 管理者は、このアクセス許可に対して 1 つのアプリを選択できます。 選択したアプリには、ネットワーク アクティビティ ログへのアクセス権が付与されます。

これらの設定を使用するには、マネージド Google Play アプリで委任されたスコープを使用する必要があります。

適用対象:

• Android Enterprise のフル マネージド デバイス
• Android Enterprise 専用デバイス
• 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス

この機能の詳細については、次を参照してください。

• Android の組み込みのアプリ構成
• Intune > アプリケーションを使用して企業所有デバイスの機能を許可または制限する Android Enterprise デバイス設定の一覧

Samsung は、Android デバイス管理者 (DA) デバイスでのキオスク モードのサポートを終了しました

Samsung は、Android デバイス管理者で使用される Samsung Knox キオスク API を Knox 3.7 (Android 11) で非推奨としてマークしました。

機能は引き続き機能する可能性がありますが、動作を続ける保証はありません。 サムスンは発生する可能性のあるバグを修正しません。 非推奨の API に対する Samsung サポートの詳細については、「 API が非推奨になった後に提供されるサポートの種類 」を参照してください (Samsung の Web サイトが開きます)。

代わりに、専用デバイス管理を使用して Intune でキオスク デバイスを管理できます。

適用対象:

• Android デバイス管理者 (DA)

設定カタログ ポリシーのインポートとエクスポート

Intune 設定カタログには、構成できるすべての設定と、すべて 1 か所 (Devices>Manage devices>Configuration>Create>New Policy> [プラットフォームの選択] > [プロファイルの種類] の順に選択します。

設定カタログ ポリシーは、インポートおよびエクスポートできます。

• 既存のポリシーをエクスポートするには、プロファイルを選択>省略記号 >[JSON のエクスポート] を選択します。
• 以前にエクスポートした設定カタログ ポリシーをインポートするには、[作成>インポート ポリシー] を選択>以前にエクスポートした JSON ファイルを選択します。

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

ユーザーが同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの仕事用プロファイルにアクセスできないようにするための新しい設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、ユーザーは同じパスワードを使用してデバイスのロックを解除し、仕事用プロファイルにアクセスできます。

さまざまなパスワードを適用してデバイスのロックを解除し、仕事用プロファイル (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise>個人所有の仕事用プロファイル>プロファイルの種類のデバイス制限) にアクセスできる新しい設定があります。

• デバイスと仕事用プロファイルの 1 つのロック: [ブロック] では 、ユーザーがデバイスと仕事用プロファイルのロック画面に同じパスワードを使用できなくなります。 エンド ユーザーは、デバイスのロックを解除するためにデバイス パスワードを入力し、仕事用プロファイルにアクセスするために仕事用プロファイル のパスワードを入力する必要があります。 [未構成] (既定値) に設定すると、Intune はこの設定を変更または更新しません。 既定では、OS では、ユーザーが 1 つのパスワードを使用して仕事用プロファイルにアクセスできる場合があります。

この設定は省略可能であり、既存の構成プロファイルには影響しません。

現在、仕事用プロファイルのパスワードがポリシー要件を満たしていない場合、デバイス ユーザーに通知が表示されます。 デバイスが非準拠としてマークされていません。 作業プロファイルの別のコンプライアンス ポリシーが作成され、今後のリリースで使用できるようになります。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス (BYOD)

仕事用プロファイルを使用して個人所有のデバイスで構成できる設定の一覧については、「 Android Enterprise デバイス設定の一覧」を参照して、Intune を使用して個人所有のデバイスの機能を許可または制限します。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、 Microsoft Intune 管理センターで、[ デバイス>管理デバイス>Configuration>Create>New policy>macOS>Settings カタログ のプロファイルの種類に関するページに移動します。

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ データ

制限事項:

• デバイスにディクテーションのみを強制する

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

デバイスの登録

個人用 iOS/iPadOS デバイスの JIT 登録を使用した Web ベースのデバイス登録

Intune では、Apple デバイス登録を介して設定された個人用デバイスの Just-In Time (JIT) 登録を使用した Web ベースのデバイス登録がサポートされています。 JIT 登録により、登録エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、デバイス全体で SSO が確立されます。 登録は Intune ポータル サイトの Web バージョンで行われ、ポータル サイト アプリの必要がなくなります。 また、この登録方法を使用すると、管理対象の Apple ID を持たない従業員と学生がデバイスを登録し、ボリューム購入アプリにアクセスできます。

詳細については、「 iOS の Web ベースのデバイス登録を設定する」を参照してください。

デバイス管理

Intune アドオン ページの更新

[ テナント管理 ] の [Intune アドオン] ページには、 アドオン、 すべてのアドオン、 および機能が含まれます。 試用版または購入したライセンス、テナントで使用するライセンスが付与されているアドオン機能、Microsoft 管理センターでの新しい課金エクスペリエンスのサポートに関する強化されたビューが提供されます。

詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Android 用のリモート ヘルプが一般公開されました

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスで一般提供されています。

リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「 Android のリモート ヘルプ」を参照してください。

デバイスのセキュリティ

設定カタログで Apple デバイスの宣言型ソフトウェア更新プログラムとパスコード ポリシーを構成する

ソフトウェアの更新とパスコードは、Apple の宣言型デバイス管理 (DDM) 構成を使用して、設定カタログ (Devices>Manage devices>Configuration>Create>New policy>iOS/iPadOS、または macOS for platform >プロファイルの種類>Declarative デバイス管理用の設定カタログ) を使用して管理できます。

DDM の詳細については、「 Apple の宣言型デバイス管理 (DDM) (Apple の Web サイトを開く)」を参照してください。

DDM を使用すると、強制期限までに特定の更新プログラムをインストールできます。 DDM の自律的な性質により、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理するにつれて、ユーザー エクスペリエンスが向上します。 更新プログラムが利用可能であることをユーザーに求め、ダウンロードも行い、インストール用にデバイスを準備 &、更新プログラムをインストールします。

設定カタログでは、宣言型 デバイス管理 > ソフトウェア更新プログラムで、次の宣言型ソフトウェア更新プログラムの設定を使用できます。

• 詳細 URL: 更新プログラムの詳細を示す Web ページ URL。 通常、この URL は組織がホストする Web ページであり、更新プログラムに組織固有のヘルプが必要かどうかをユーザーが選択できます。
• ターゲット ビルド バージョン: デバイスを更新するターゲット ビルド バージョン ( 20A242など)。 ビルド バージョンには、 20A242aなどの補足バージョン識別子を含めることができます。 入力したビルド バージョンが、入力した ターゲット OS バージョン の値と一致しない場合は、[ ターゲット OS バージョン] の値が優先されます。
• ターゲットのローカル日付時刻: ソフトウェア更新プログラムを強制的にインストールするタイミングを指定するローカル日付時刻の値。 ユーザーがこの時間より前にソフトウェア更新プログラムをトリガーしなかった場合、デバイスはソフトウェア更新プログラムを強制的にインストールします。
• ターゲット OS バージョン: デバイスを更新するターゲット OS バージョン。 この値は、 16.1などの OS バージョン番号です。 16.1.1などの補足バージョン識別子を含めることもできます。

この機能の詳細については、「 設定カタログを使用したソフトウェア更新プログラムの管理」を参照してください。

設定カタログでは、 宣言型デバイス管理 > パスコードで、次の宣言型パスコード設定を使用できます。

• 自動デバイス ロック: システムがデバイスを自動的にロックする前に、ユーザーをアイドル状態にできる最大期間を入力します。
• 最大猶予期間: ユーザーがパスコードなしでデバイスのロックを解除できる最大期間を入力します。
• 失敗した試行の最大数: 前に間違ったパスコード試行の最大数を入力します。
  • iOS/iPadOS がデバイスをワイプする
  • macOS によってデバイスがロックされる
• 最小パスコード長: パスコードに必要な最小文字数を入力します。
• パスコード再利用制限: 使用できない以前に使用したパスコードの数を入力します。
• 複雑なパスコードが必要: True に設定されている場合は、複雑なパスコードが必要です。 複雑なパスコードには文字が繰り返されておらず、 123 や CBAなど、文字の増減はありません。
• デバイスでパスコードを要求する: True に設定すると、ユーザーはデバイスにアクセスするためのパスコードを設定する必要があります。 他のパスコード制限を設定していない場合は、パスコードの長さや品質に関する要件はありません。

適用対象:

• iOS/iPadOS 17.0 以降
• macOS 14.0 以降

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Mvision Mobile が Trellix Mobile Security になりました

Intune Mobile Threat Defense パートナーMvision Mobile は 、Trellix Mobile Security に移行しました。 この変更により、ドキュメントと Intune 管理センター UI が更新されました。 たとえば、 Mvision Mobile コネクタ が Trellix Mobile Security になりました。 Mvision Mobile コネクタの既存のインストールも Trellix Mobile Security に更新されます。

この変更について質問がある場合は、Trellix Mobile Security の担当者にお問い合わせください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• BuddyBoard by Brother Industries, LTD
• Microsoft Loop by Microsoft Corporation

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

ポリシーコンプライアンスとコンプライアンスの設定に関する更新されたレポートが一般公開されました

次のデバイス コンプライアンス レポートはパブリック プレビューから外れ、一般公開されています。

• ポリシーへの準拠
• コンプライアンスの設定

この一般提供への移行により、両方のレポートの古いバージョンは Intune 管理センターから廃止され、使用できなくなります。

これらの変更の詳細については、 https://aka.ms/Intune/device_compl_reportの Intune サポート チームのブログを参照してください。

テナント管理

Intune 管理センターのホーム ページの更新

Intune 管理センターのホーム ページは、新しい外観とより動的なコンテンツで再設計されました。 [状態] セクションが簡略化されました。 Intune 関連の機能については、「 スポットライト 」セクションを参照してください。 [ Intune の詳細を取得 する] セクションには、Intune コミュニティとブログへのリンクと Intune のお客様の成功が示されています。 また、[ ドキュメントとトレーニング ] セクションには、 Intune の新機能、 開発中の機能、その他のトレーニングへのリンクが記載されています。 Microsoft Intune 管理センターで、[ホーム] を選択します。

2023 年 10 月 16 日の週

テナント管理

endpoint.microsoft.com URL リダイレクト先 intune.microsoft.com

以前は、Microsoft Intune 管理センターに新しい URL (https://intune.microsoft.com) があることを発表しました。

https://endpoint.microsoft.com URL がhttps://intune.microsoft.comにリダイレクトされるようになりました。

2023 年 9 月 18 日の週 (サービス リリース 2309)

アプリ管理

MAM for Windows の一般提供

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズするための Intune アプリケーション構成ポリシー (ACP)
• 組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認するための Intune アプリケーション保護ポリシー (APP)
• Windows Security Center の脅威防御を Intune APP と統合して、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
• Microsoft Entra ID を介して保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認するためのアプリケーション保護条件付きアクセス。

Windows 用 Intune Mobile Application Management (MAM) は、Windows 11、ビルド 10.0.22621 (22H2) 以降で使用できます。 この機能には、Microsoft Intune (2309 リリース)、Microsoft Edge (v117 stable Branch 以降)、Windows Security Center (v 1.0.2309.xxxxx 以降) のサポート変更が含まれています。 App Protection の条件付きアクセスはパブリック プレビュー段階です。

ソブリン クラウドのサポートは、今後予想されます。 詳細については、「 Windows のアプリ保護ポリシー設定」を参照してください。

デバイス構成

正常に展開されない OEMConfig プロファイルが "保留中" として表示されない

Android Enterprise デバイスの場合は、OEMConfig アプリ (デバイス>管理デバイス>Configuration>Create>New policy>プロファイルの種類に対するプラットフォーム>OEMConfig) を構成する構成ポリシーを作成できます。

以前は、350 KB を超える OEMConfig プロファイルは"保留中" 状態を示していました。 この動作が変更されました。 350 KB を超える OEMConfig プロファイルは、デバイスに展開されません。 保留中の状態のプロファイル、または 350 KB を超えるプロファイルは表示されません。 正常にデプロイされたプロファイルのみが表示されます。

この変更は UI の変更のみです。 対応する Microsoft Graph API に変更は加えされません。

Intune 管理センターでプロファイルの保留中の状態を監視するには、 デバイス>管理デバイス>Configuration> プロファイルの >デバイスの状態を選択します。

適用対象:

• Android Enterprise

OEM 構成の詳細については、「 Microsoft Intune で OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

構成更新設定は、Windows Insider の設定カタログにあります

Windows 設定カタログでは、 構成の更新を構成できます。 この機能を使用すると、デバイスを Intune にチェックインすることなく、以前に受信したポリシー設定を再適用する Windows デバイスの頻度を設定できます。

構成の更新:

• 構成の更新を有効にする
• 更新間隔 (分)

適用対象:

• Windows 11

設定カタログの詳細については、「 設定カタログを使用して Windows、iOS/iPadOS、macOS デバイスで設定を構成する」を参照してください。

Apple 設定カタログで管理設定を使用できるようになりました

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[管理設定] コマンド内の設定は、[設定カタログ] で使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS>Settings カタログでプロファイルの種類を確認できます。

[マネージド設定] > App Analytics:

• 有効: true の場合は、アプリ開発者とのアプリ分析の共有を有効にします。 false の場合は、アプリ分析の共有を無効にします。

適用対象:

• 共有された iPad

[マネージド設定] > アクセシビリティ設定:

• 太字のテキストが有効
• グレースケールが有効
• コントラストの増加を有効にする
• モーションの軽減を有効にする
• 透明度の削減を有効にする
• テキスト サイズ
• タッチの宿泊施設が有効
• Voice Over Enabled
• ズーム有効

[マネージド設定] > ソフトウェア更新プログラムの設定:

• 推奨事項の間隔: この値は、システムがソフトウェア更新プログラムをユーザーに提示する方法を定義します。

[マネージド設定] > タイム ゾーン:

• タイム ゾーン: インターネット割り当て番号機関 (IANA) タイム ゾーン データベース名。

適用対象:

• iOS/iPadOS

[マネージド設定] > Bluetooth:

• 有効: true の場合は、Bluetooth設定を有効にします。 false の場合は、Bluetooth設定を無効にします。

[マネージド設定] > MDM オプション:

• 監視中に許可されるアクティブ化ロック: true の場合、監視対象デバイスは、ユーザーが [自分の検索] を有効にしたときにアクティブ化ロックに登録されます。

適用対象:

• iOS/iPadOS
• macOS

これらの設定の詳細については、 Apple の開発者向け Web サイトを参照してください。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] に新しい設定があります。 この設定を表示するには、 Microsoft Intune 管理センターで、[ デバイス>管理デバイス>Configuration>Create>New policy>macOS>Settings catalog for profile type] に移動します。

Microsoft Defender > クラウドで提供される保護の基本設定:

• クラウド ブロックのレベル

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

Zebra Lifeguard Over-the-Air サービスとの Intune 統合が一般公開されています

Microsoft Intune では、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、Intune に登録されている対象の Zebra デバイスに OS の更新プログラムとセキュリティ パッチを空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

この統合は、Android 8 以降を実行している Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで一般提供されるようになりました。 また、Zebra アカウントと Intune プラン 2 または Microsoft Intune Suite も必要です。

以前は、この機能はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「 Intune アドオン」を参照してください。

デバイスの登録

仕事用プロファイルを使用した Android Enterprise フル マネージドデバイスと企業所有デバイスの登録中の SSO サポート

Intune では、仕事用プロファイルでフル マネージドまたは企業所有の Android Enterprise デバイスでのシングル サインオン (SSO) がサポートされています。 登録中に SSO を追加すると、デバイスを登録するエンド ユーザーは、職場または学校アカウントで 1 回だけサインインする必要があります。

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス
• 完全に管理されている Android Enterprise

これらの登録方法の詳細については、次を参照してください。

• 仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの Intune 登録の設定
• Android Enterprise フル マネージド デバイスの登録を設定する

デバイス管理

macOS でのリモート ヘルプの概要

リモート ヘルプ Web アプリを使用すると、ユーザーは macOS デバイスに接続し、表示専用のリモート アシスタンス セッションに参加できます。

適用対象:

• 11 ビッグ サー
• 12 モントレー
• 13 ベンチュラ

macOS のリモート ヘルプの詳細については、「 リモート ヘルプ」を参照してください。

管理証明書の有効期限

管理証明書の有効期限は、[ デバイス] ワークロードの列として使用できます。 管理証明書の有効期限の範囲をフィルター処理し、フィルターに一致する有効期限が設定されたデバイスの一覧をエクスポートすることもできます。

この情報は、 Microsoft Intune 管理センター で [ デバイス>すべてのデバイス] を選択して利用できます。

Windows Defender アプリケーション コントロール (WDAC) 参照が App Control for Business に更新されます

Windows は 、Windows Defender アプリケーション コントロール (WDAC) の名前を App Control for Business に変更しました。 この変更により、Intune ドキュメントと Intune 管理センターの参照がこの新しい名前を反映するように更新されます。

Intune では、最小バージョンとして iOS/iPadOS 15.x がサポートされています

Apple は iOS/iPadOS バージョン 17 をリリースしました。 Intune でサポートされている最小バージョンは iOS/iPadOS 15.x になりました。

適用対象:

• iOS/iPadOS

エンドポイント セキュリティアプリケーション制御ポリシーとマネージド インストーラーに対する政府テナントのサポート

エンドポイント セキュリティ アプリケーション制御ポリシーを使用し、マネージド インストーラーを構成するためのサポートを次のソブリン クラウド環境に追加しました。

• 米国政府機関向けクラウド
• 21中国のVianet

アプリケーション制御ポリシーとマネージド インストーラーのサポートは、もともと 2023 年 6 月にプレビュー段階でリリースされました。 Intune のアプリケーション制御ポリシーは、Defender アプリケーション制御 (WDAC) の実装です。

デバイスのセキュリティ

Windows 365 デバイスのエンドポイント特権管理のサポート

エンドポイント特権管理を使用して、Windows 365 デバイス (クラウド PC とも呼ばれます) でアプリケーションの昇格を管理できるようになりました。

このサポートには、Azure Virtual Desktop は含まれません。

エンドポイント特権管理のパブリッシャー別昇格レポート

Endpoint Privilege Management (EPM) の パブリッシャーによる昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権のアプリの発行元によって集計されたすべての管理された昇格と管理されていない昇格を表示できます。

レポートは、Intune 管理センターの EPM の [レポート] ノードにあります。 [エンドポイント セキュリティ>Endpoint Privilege Management] に移動し、[レポート] タブを選択します。

エンドポイントの検出と応答に関する Intune エンドポイント セキュリティ ポリシーでの macOS のサポート

エンドポイント検出と応答 (EDR) の Intune エンドポイント セキュリティ ポリシーで macOS がサポートされるようになりました。 このサポートを有効にするために、 macOS 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、Intune に登録されている macOS デバイスと、 Defender for Endpoint セキュリティ設定管理 シナリオのオプトイン パブリック プレビューによって管理される macOS デバイスで使用します。

macOS 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに次の設定が含まれています。

• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。
• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。

macOS で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの「 macOS で Microsoft Defender for Endpoint の基本設定を設定 する」を参照してください。

エンドポイントの検出と応答に関する Intune エンドポイント セキュリティ ポリシーを使用した Linux サポート

エンドポイント検出と応答 (EDR) の Intune エンドポイント セキュリティ ポリシーで Linux がサポートされるようになりました。 このサポートを有効にするために、Linux 用の新しい EDR テンプレート プロファイルが追加されました。 このプロファイルは、 Defender for Endpoint セキュリティ設定管理 シナリオのオプトイン パブリック プレビューを通じて管理される Intune および Linux デバイスに登録されている Linux デバイスで使用します。

Linux 用の EDR テンプレートには、Defender for Endpoint の [デバイス タグ ] カテゴリに対して次の設定が含まれています。

• タグの値 - タグ ごとに 1 つの値のみを設定できます。 タグの型は一意であり、同じプロファイルで繰り返すべきではありません。
• タグの種類 – GROUP タグは、指定した値でデバイスにタグを付けます。 タグはデバイス ページの管理センターに反映され、デバイスのフィルター処理とグループ化に使用できます。

Linux で使用できる Defender for Endpoint 設定の詳細については、Defender ドキュメントの 「Linux 上の Microsoft Defender for Endpoint の基本設定を設定 する」を参照してください。

監視とトラブルシューティング

Windows 10 以降の更新プログラム リングのレポートを更新しました

Windows 10 以降の更新プログラム リングのレポートは、Intune の強化されたレポート インフラストラクチャを使用するように更新されました。 これらの変更は、他の Intune 機能に対して導入された同様の機能強化に合わせて調整されます。

Windows 10 以降の Update リングのレポートに対するこの変更により、Intune 管理センターで更新リング ポリシーを選択すると、[ 概要]、[ 管理]、または [監視 ] オプションの左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、次のポリシーの詳細が含まれる 1 つのペインが表示されます。

• 要点 – ポリシー名、作成日と変更日、詳細など。
• デバイスとユーザーのチェックインの状態 – このビューは既定のレポート ビューであり、次のものが含まれます。
  • このポリシーのデバイスの状態の概要と、より包括的な レポート ビュー を開く [レポートの表示] ボタン。
  • ポリシーに割り当てられたデバイスによって返されるさまざまなデバイスステータス値の合理化された表現と数。 簡略化された横棒グラフとグラフは、以前のレポート表示で見られた以前のドーナツ グラフを置き換えます。
• 他の 2 つのレポート タイルで、より多くのレポートを開きます。 これらのタイルには、次のものが含まれます。
  • デバイスの割り当て状態 – このレポートは、以前のデバイス状態レポートと同じ情報を組み合わせたものであり、ユーザーの状態レポートは使用できなくなります。 ただし、この変更により、ユーザー名に基づくピボットとドリルインは使用できなくなります。
  • 設定の状態ごとの – この新しいレポートは、既定とは異なる方法で構成された各設定の成功メトリックを提供し、組織に正常に展開されていない可能性がある設定に関する新しい分析情報を提供します。
• プロパティ – 各領域プロファイルの詳細を 編集 するオプションなど、ポリシーの各構成ページの詳細を表示します。

Windows 10 以降の更新リングのレポートの詳細については、「Windows 10 以降の更新プログラム リングのレポート 」の「Microsoft Intune 用 Windows Update レポート」の記事を参照してください。

ロールベースのアクセス

UpdateEnrollment のスコープの更新

新しいロール UpdateEnrollment の導入により、 UpdateOnboarding のスコープが更新されます。

カスタムロールと組み込みロールの UpdateOnboarding 設定は、Android Enterprise バインドをマネージド Google Play やその他のアカウント全体の構成のみに管理または変更するように変更されます。 UpdateOnboarding を使用した組み込みロールには、UpdateEnrollmentProfiles が含まれるようになりました。

リソース名は Android から AndroidEnterprise に更新されています。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

2023 年 9 月 11 日の週

デバイス構成

リモート ヘルプでのリモート起動の概要

リモート起動を使用すると、ヘルパーは、ユーザーのデバイスに通知を送信することで、Intune からヘルパーとユーザーのデバイスでリモート ヘルプをシームレスに起動できます。 この機能を使用すると、ヘルプデスクと共有者の両方がセッション コードを交換することなく、セッションにすばやく接続できます。

適用対象:

• Windows 10 または 11

詳細については、「 リモート ヘルプ」を参照してください。

2023 年 9 月 4 日の週

デバイス管理

Microsoft Intune は、2024 年 8 月に GMS アクセス権を持つデバイスでの Android デバイス管理者のサポートを終了しました

Microsoft Intune は、2024 年 8 月 30 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理 のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。

現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。

詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

2023 年 8 月 28 日の週

デバイス構成

SCEP および PFX 証明書プロファイルの 4096 ビット キー サイズに対する Windows と Android のサポート

Windows および Android デバイスの Intune SCEP 証明書プロファイル と PKCS 証明書プロファイル で、 キー サイズ (ビット)が 4096 に対応するようになりました。 このキー サイズは、編集する新しいプロファイルと既存のプロファイルで使用できます。

• SCEP プロファイルには常に キー サイズ (ビット) 設定が含まれており、使用可能な構成オプションとして 4096 がサポートされるようになりました。
• PKCS プロファイルには、 キー サイズ (ビット) 設定は直接含まれません。 代わりに、管理者は 証明機関の証明書テンプレートを変更 して 、最小キー サイズ を 4096 に設定する必要があります。

サード パーティ証明機関 (CA) を使用する場合は、4096 ビット キー サイズの実装に関するサポートをベンダーに問い合わせる必要がある場合があります。

この新しいキー サイズを利用するために新しい証明書プロファイルを更新または展開する場合は、配置方法をずらして使用することをお勧めします。 この方法は、多数のデバイス間で同時に新しい証明書に対する過剰な需要を生じないようにするのに役立ちます。

この更新プログラムでは、Windows デバイスで次の制限事項に注意してください。

• 4096 ビット キー ストレージは、 ソフトウェア キー ストレージ プロバイダー (KSP) でのみサポートされます。 次は、このサイズのキーの格納をサポートしていません。
  • ハードウェア TPM (トラステッド プラットフォーム モジュール)。 回避策として、キー ストレージにソフトウェア KSP を使用できます。
  • Windows Hello for Business。 現時点では回避策はありません。

テナント管理

複数の管理者承認のアクセス ポリシーが一般公開されました

複数の管理者承認のアクセス ポリシーはパブリック プレビューから外れ、一般公開されるようになりました。 これらのポリシーを使用すると、アプリのデプロイなどのリソースを保護できます。その変更が適用される前に、デプロイに対する変更を、リソースの 承認者 であるユーザーグループの 1 人が承認するように要求します。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

2023 年 8 月 21 日の週 (サービス リリース 2308)

アプリ管理

マネージド ホーム画面のエンド ユーザーが、正確なアラームアクセス許可を付与するように求められた

マネージド ホーム画面では、正確なアラームアクセス許可を使用して、次のアクションを実行します。

• デバイスで一定時間非アクティブ状態が発生した後にユーザーを自動的にサインアウトする
• 一定の非アクティブ期間の後にスクリーン セーバーを起動する
• ユーザーがキオスク モードを終了した一定期間後に MHS を自動的に再起動する

Android 14 以降を実行しているデバイスの場合、既定では、正確なアラームのアクセス許可が拒否されます。 重要なユーザー機能が影響を受けないように、エンド ユーザーは、マネージド ホーム画面の初回起動時に正確なアラームアクセス許可を付与するように求められます。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する 」と Android の開発者向けドキュメントを参照してください。

マネージド ホーム画面の通知

API レベル 33 をターゲットとする Android 13 以降を実行している Android デバイスの場合、既定では、アプリケーションには通知を送信するアクセス許可がありません。 以前のバージョンのマネージド ホーム画面では、管理者がマネージド ホーム画面の自動再起動を有効にしていた場合、再起動のユーザーに警告する通知が表示されていました。 通知のアクセス許可の変更に対応するために、管理者がマネージド ホーム画面の自動再起動を有効にしたシナリオでは、再起動のユーザーに通知するトースト メッセージがアプリケーションに表示されるようになります。 マネージド ホーム画面では、この通知のアクセス許可を自動付与できるため、管理者が管理ホーム画面を構成して、API レベル 33 の通知アクセス許可の変更に対応するために変更は必要ありません。 Android 13 (API レベル 33) の通知メッセージの詳細については、 Android 開発者向けドキュメントを参照してください。 マネージド ホーム画面の詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

新しい macOS Web クリップ アプリの種類

Intune では、エンド ユーザーは macOS デバイス (Apps>macOS>Add>macOS Web クリップ) のドックに Web アプリをピン留めできます。

適用対象:

• macOS

構成できる設定の関連情報については、「 Microsoft Intune に Web アプリを追加する」を参照してください。

Win32 アプリ構成可能なインストール時間

Intune では、構成可能なインストール時間を設定して Win32 アプリを展開できます。 この時間は分単位で表されます。 設定されたインストール時間よりもアプリのインストールに時間がかかる場合、システムはアプリのインストールに失敗します。 最大タイムアウト値は 1440 分 (1 日) です。 Win32 アプリの詳細については、「 Microsoft Intune での Win32 アプリ管理」を参照してください。

Samsung Knox の条件付き起動チェック

Samsung Knox デバイスでデバイスの正常性侵害の検出をさらに追加できます。 新しい Intune アプリ保護ポリシー内で条件付き起動チェックを使用すると、互換性のある Samsung デバイスでハードウェア レベルのデバイス改ざん検出とデバイス構成証明を実行する必要があります。 詳細については、Microsoft Intune の Android アプリ保護ポリシー設定の条件付き起動セクションの Samsung Knox デバイス構成証明設定に関するページを参照してください。

デバイス構成

パブリック プレビューでの Android のリモート ヘルプ

リモート ヘルプは、Zebra と Samsung の Android Enterprise Dedicated デバイスのパブリック プレビューで利用できます。 リモート ヘルプを使用すると、IT 担当者はデバイスの画面をリモートで表示し、参加済みシナリオと無人シナリオの両方で完全に制御して、問題を迅速かつ効率的に診断して解決できます。

適用対象:

• Zebra または Samsung によって製造された Android Enterprise 専用デバイス

詳細については、「 Android のリモート ヘルプ」を参照してください。

グループ ポリシー分析の一般公開

グループ ポリシー分析は一般提供 (GA) です。 グループ ポリシー分析を使用して、Intune ポリシー設定への移行についてオンプレミスのグループ ポリシー オブジェクト (GPO) を分析します。

適用対象:

• Windows 11
• Windows 10

グループ ポリシー分析の詳細については、「 Microsoft Intune でのグループ ポリシー分析を使用したオンプレミス GPO の分析」を参照してください。

Apple 設定カタログで使用できる新しい SSO、ログイン、制限、パスコード、改ざん防止の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、 Microsoft Intune 管理センターで、[ デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS>Settings カタログ のプロファイルの種類に関するページに移動します。

iOS/iPadOS 17.0 以降

制限事項:

• Mac で iPhone ウィジェットを許可する

macOS

Microsoft Defender > 改ざん防止:

• プロセスの引数
• プロセス パス
• プロセスの署名識別子
• プロセスのチーム識別子
• プロセスの除外

macOS 13.0 以降

認証 > 拡張可能シングル サインオン (SSO):

• アカウントの表示名
• その他のグループ
• 管理者グループ
• 認証方法
• 承認権限
• グループ
• 承認グループ
• 承認を有効にする
• ログイン時にユーザーの作成を有効にする
• ログイン頻度
• 新しいユーザー承認モード
• アカウント名
• 姓名
• トークンからユーザーへのマッピング
• ユーザー承認モード
• 共有デバイス キーを使用する

macOS 14.0 以降

ログイン > ログイン ウィンドウの動作:

• 自動ログイン パスワード
• Autologin Username

制限事項:

• ARD リモート管理の変更を許可する
• Bluetooth共有の変更を許可する
• Cloud Freeform を許可する
• ファイル共有の変更を許可する
• インターネット共有の変更を許可する
• ローカル ユーザーの作成を許可する
• プリンター共有の変更を許可する
• リモート Apple イベントの変更を許可する
• スタートアップ ディスクの変更を許可する
• Time Machine Backup を許可する

セキュリティ > パスコード:

• パスワード コンテンツの説明
• パスワード コンテンツ正規表現

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントの Just-In-Time 登録とコンプライアンスの修復が一般公開されました

先進認証を使用したセットアップ アシスタントの Just-In Time (JIT) 登録とコンプライアンスの修復がプレビューから外れ、一般公開されるようになりました。 ジャスト イン タイム登録では、デバイス ユーザーは Microsoft Entra の登録とコンプライアンスチェックのためにポータル サイト アプリを使用する必要はありません。 JIT 登録とコンプライアンスの修復は、ユーザーのプロビジョニング エクスペリエンスに埋め込まれているため、コンプライアンスの状態を表示し、アクセスしようとしている作業アプリ内でアクションを実行できます。 また、これにより、デバイス全体でシングル サインオンが確立されます。 JIT 登録を設定する方法の詳細については、「 Just in Time Registration を設定する」を参照してください。

iOS/iPadOS の自動デバイス登録の最終構成を待つ一般公開

一般公開され、 最終的な構成を待機 すると、セットアップ アシスタントの最後にロックされたエクスペリエンスが有効になり、重要なデバイス構成ポリシーがデバイスに確実にインストールされるようになります。 ロックされたエクスペリエンスは、新規および既存の登録プロファイルを対象とするデバイスで機能します。 サポートされているデバイスには以下が含まれます。

• 最新の認証を使用してセットアップ アシスタントに登録する iOS/iPadOS 13 以降のデバイス
• ユーザー アフィニティなしで登録されている iOS/iPadOS 13 以降のデバイス
• Microsoft Entra ID 共有モードで登録されている iOS/iPadOS 13 以降のデバイス

この設定は、セットアップ アシスタントのすぐに使用できる自動デバイス登録エクスペリエンス中に 1 回適用されます。 デバイス ユーザーがデバイスを再登録しない限り、デバイス ユーザーは再びデバイスを体験しません。 新しい登録プロファイルでは、最終構成の待機が既定で有効になっています。 最終構成の待機を有効にする方法については、「 Apple 登録プロファイルを作成する」を参照してください。

デバイス管理

Android 通知アクセス許可プロンプトの動作に対する変更

Android アプリが通知アクセス許可を処理する方法を更新し、Google が Android プラットフォームに加えた最近の変更に合わせて調整しました。 Google が変更された結果、通知アクセス許可はアプリに次のように付与されます。

• Android 12 以前を実行しているデバイスでは、アプリは既定でユーザーに通知を送信できます。
• Android 13 以降を実行しているデバイスの場合: 通知のアクセス許可は、アプリのターゲットとなる API によって異なります。
  • API 32 以下を対象とするアプリ: ユーザーがアプリを開いたときに表示される通知アクセス許可プロンプトが Google によって追加されました。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。
  • API 33 以降を対象とするアプリ: アプリ開発者は、通知アクセス許可のプロンプトが表示されるタイミングを定義します。 管理アプリは、通知アクセス許可が自動的に付与されるようにアプリを引き続き構成できます。

ユーザーとデバイス ユーザーは、アプリが API 33 をターゲットにした後、次の変更が表示されることを期待できます。

• 仕事用プロファイル管理に使用されるポータル サイト: ユーザーが最初にポータル サイトを開いたときに、ポータル サイトの個人用インスタンスに通知アクセス許可プロンプトが表示されます。 ポータル サイトの仕事用プロファイル インスタンスに通知アクセス許可プロンプトが表示されないのは、仕事用プロファイルのポータル サイトに対して通知のアクセス許可が自動的に許可されるためです。 ユーザーは、設定アプリでアプリの通知を無音にすることができます。
• デバイス管理者の管理に使用されるポータル サイト: ユーザーがポータル サイト アプリを初めて開いたときに通知アクセス許可プロンプトが表示されます。 ユーザーは、設定アプリでアプリの通知設定を調整できます。
• Microsoft Intune アプリ: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリで一部のアプリ通知設定を調整できます。
• AOSP 用 Microsoft Intune アプリ: 既存の動作に変更はありません。 Microsoft Intune アプリに対して通知が自動的に許可されるため、ユーザーにプロンプトが表示されません。 ユーザーは、設定アプリでアプリの通知設定を調整できません。

デバイスのセキュリティ

Defender 用の更新プログラムを展開するための Defender Update コントロールが一般公開されました

Microsoft Defender の更新設定を 管理する Intune エンドポイント セキュリティ ウイルス対策ポリシーのプロファイル Defender Update コントロールが一般公開されました。 このプロファイルは、 Windows 10、Windows 11、および Windows Server プラットフォームで 使用できます。 パブリック プレビューでは、このプロファイルは Windows 10 以降 のプラットフォームで使用できます。

プロファイルには、デバイスとユーザーが Defender 更新プログラムを受け取るロールアウト リリース チャネルの設定が含まれています。これは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月次エンジン更新プログラムに関連します。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジンの更新チャネル
• プラットフォーム更新プログラム チャネル
• セキュリティ インテリジェンスの更新チャネル

これらの設定は、Windows 10 以降のプロファイルの設定カタログからも使用できます。

Endpoint Privilege Management のアプリケーション別の昇格レポート

Endpoint Privilege Management (EPM) の アプリケーション別の昇格レポート という名前の新しいレポートがリリースされました。 この新しいレポートを使用すると、管理者特権を持つアプリケーションによって集計されたすべての管理された昇格と管理されていない昇格を表示できます。 このレポートは、昇格ルールを適切に機能させる必要があるアプリケーション (子プロセスのルールなど) を特定するのに役立ちます。

レポートは、Intune 管理センターの EPM の [レポート] ノードにあります。 [エンドポイント セキュリティ>Endpoint Privilege Management] に移動し、[レポート] タブを選択します。

macOS ウイルス対策ポリシーで使用できる新しい設定

macOS デバイス用 の Microsoft Defender ウイルス対策 プロファイルは、さらに 9 つの設定と 3 つの新しい設定カテゴリで更新されました。

ウイルス対策エンジン – このカテゴリでは、次の設定が新しく追加されました。

• オンデマンド スキャンの並列処理の程度 – オンデマンド スキャン の並列処理の程度を指定します。 この設定は、スキャンの実行に使用されるスレッドの数に対応し、CPU 使用率とオンデマンド スキャンの期間に影響します。
• ファイル ハッシュ計算を有効にする – ファイル ハッシュ計算機能を有効または無効にします。 この機能を有効にすると、Windows Defender はスキャンするファイルのハッシュを計算します。 この設定は、カスタム インジケーターの一致の精度を向上させるのに役立ちます。 ただし、[ファイル ハッシュの計算を有効にする] を有効にすると、デバイスのパフォーマンスに影響する可能性があります。
• 定義が更新された後にスキャンを実行する – 新しいセキュリティ インテリジェンス更新プログラムがデバイスにダウンロードされた後にプロセス スキャンを開始するかどうかを指定します。 この設定を有効にすると、デバイスの実行中のプロセスでウイルス対策スキャンがトリガーされます。
• アーカイブ ファイル内のスキャン – true の場合、Defender はアーカイブを開梱し、その中のファイルをスキャンします。 それ以外の場合、アーカイブ コンテンツはスキップされ、スキャンパフォーマンスが向上します。

ネットワーク保護 – 次の設定を含む新しいカテゴリ。

• 適用レベル – この設定を構成して、ネットワーク保護を 無効にするか、 監査モードで、または適用するかを指定 します。

改ざん防止 - 次の設定を含む新しいカテゴリ。

• 適用レベル - 改ざん防止を 無効にするか、 監査モードで、または 適用するかを指定します。

ユーザー インターフェイスの基本設定 – 次の設定を含む新しいカテゴリ。

• コンシューマー バージョンへのサインインを制御する - ユーザーがコンシューマー バージョンの Microsoft Defender にサインインできるかどうかを指定します。
• [状態メニュー アイコンの表示/非表示] – 状態メニュー アイコン (画面の右上隅に表示) を非表示にするかどうかを指定します。
• ユーザーが開始したフィードバック – ユーザーが Microsoft にフィードバックを送信できるかどうかを指定するには、[ ヘルプ>フィードバックの送信] に移動します。

作成する新しいプロファイルには、元の設定と新しい設定が含まれます。 既存のプロファイルは、新しい設定を含むように自動的に更新され、そのプロファイルを編集して変更するまで、新しい設定はそれぞれ [未構成 ] に設定されます。

エンタープライズ組織の macOS で Microsoft Defender for Endpoint の基本設定を設定する方法の詳細については、「 macOS で Microsoft Defender for Endpoint の基本設定を設定する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• VerityRMS by Mackey LLC (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows 診断データを使用して CloudDesktop ログが収集されるようになりました

Windows デバイスから診断を 収集 する Intune リモート アクションに、ログ ファイルにデータが含まれるようになりました。

ログ ファイル:

• %temp%\CloudDesktop*.log

Intune エンドポイント分析の異常検出デバイス コーホートが一般公開

Intune エンドポイント分析の異常検出デバイス コーホートが一般公開されました。

デバイス コーホートは、重大度が高または中の異常に関連付けられているデバイスで識別されます。 デバイスは、アプリのバージョン、ドライバーの更新プログラム、OS のバージョン、デバイス モデルなど、共通する 1 つ以上の要因に基づいてグループに関連付けられます。 関連付けグループには、そのグループ内のすべての影響を受けるデバイス間の一般的な要因に関する重要な情報を含む詳細ビューが含まれます。 また、現在異常の影響を受けているデバイスと "危険な状態" のデバイスの内訳を表示することもできます。 "危険にさらされている" デバイスには、異常の症状がまだ示されていません。

詳細については、「 Endpoint analytics での異常検出」を参照してください。

Endpoint Analytics でのデバイス タイムラインのユーザー エクスペリエンスの向上

Endpoint Analytics のデバイス タイムラインのユーザー インターフェイス (UI) が改善され、より高度な機能 (並べ替え、検索、フィルター処理、エクスポートのサポート) が含まれています。 エンドポイント分析で特定のデバイス タイムラインを表示する場合は、イベント名または詳細で検索できます。 また、イベントをフィルター処理し、デバイス タイムラインに表示されるイベントのソースとレベルを選択し、対象の時間範囲を選択することもできます。

詳細については、「 拡張デバイス タイムライン」を参照してください。

コンプライアンス ポリシーとレポートの更新

Intune コンプライアンス ポリシーとレポートにいくつかの機能強化が行われました。 これらの変更により、レポートは、デバイス構成プロファイルとレポートで使用されるエクスペリエンスとより密接に一致します。 コンプライアンス レポートのドキュメントを更新し、利用可能なコンプライアンス レポートの機能強化を反映しました。

コンプライアンス レポートの機能強化は次のとおりです。

• Linux デバイスのコンプライアンスの詳細。
• 新しいレポート バージョンが古いレポート バージョンに置き換わり始めたため、最新のレポートと簡略化された再設計されたレポートは、しばらくの間使用できなくなります。
• コンプライアンスに関するポリシーを表示する場合、左側のウィンドウ ナビゲーションはありません。 代わりに、ポリシー ビューが開き、既定では [モニター] タブとその [デバイスの状態] ビューが表示されます。
  • このビューでは、このポリシーのデバイス状態の概要、完全なレポートを確認するためのドリルイン、および同じポリシーの設定ごとの状態ビューがサポートされます。
  • ドーナツ グラフは、効率的な表現と、ポリシーが割り当てられたデバイスによって返されるさまざまなデバイスの状態値の数に置き換えられます。
  • [プロパティ] タブを選択してポリシーの詳細を表示し、その構成と割り当てを確認して編集できます。
  • [ 要点 ] セクションが削除され、これらの詳細がポリシーの [ プロパティ ] タブに表示されます。
• 更新された状態レポートでは、列別の並べ替え、フィルターの使用、検索がサポートされます。 これらの機能強化を組み合わせることで、レポートをピボットして、その時点で表示する特定の詳細のサブセットを表示できます。 これらの機能強化により、 ユーザーの状態 レポートが冗長になったため削除されました。 これで、既定の [デバイスの状態] レポートを表示しているときに、[ユーザー プリンシパル名] 列を並べ替えたり、検索ボックスで特定のユーザー名を検索したりして、ユーザーの状態から使用できる情報と同じ情報をレポートに表示できます。
• 状態レポートを表示するときに、詳細な分析情報や詳細を調べて表示する際に、Intune に表示されるデバイスの数が異なるレポート ビュー間で一貫性を保つようになりました。

これらの変更の詳細については、 https://aka.ms/Intune/device_compl_reportの Intune サポート チームのブログを参照してください。

2023 年 8 月 14 日の週

アプリ管理

[ストア アプリケーションの無効化] 設定を使用して、ストア アプリへのエンド ユーザー アクセスを無効にし、マネージド Intune ストア アプリを許可する

Intune では、新しい ストア アプリ の種類を使用して、ストア アプリをデバイスに展開できます。

これで、[ ストア アプリケーションの無効化 ] ポリシーを使用して、エンド ユーザーのストア アプリへの直接アクセスを無効にすることができます。 無効にすると、エンド ユーザーは引き続き、Windows ポータル サイト アプリと Intune アプリ管理を使用してストア アプリにアクセスしてインストールできます。 Intune の外部でランダム ストア アプリのインストールを許可する場合は、このポリシーを構成しないでください。

前の Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示 しても、エンド ユーザーが Windows パッケージ マネージャー winget API を使用してストアに直接アクセスすることはできません。 そのため、クライアント デバイスへのランダムなアンマネージド ストア アプリケーションのインストールをブロックすることが目標の場合は、[ ストア アプリケーションの無効化 ] ポリシーを使用することをお勧めします。 Microsoft Store アプリ ポリシー内のプライベート ストアのみを表示する を使用しないでください。 適用対象:

• Windows 10 以降

詳細については、「 Microsoft Store Apps を Microsoft Intune に追加する」を参照してください。

2023 年 8 月 7 日の週

役割ベースのアクセス制御

Android for work リソースの下に新しいロールベースのアクセス制御 (RBAC) アクセス許可を導入する

Intune でカスタム ロールを作成するための新しい RBAC アクセス許可 を、 Android for work リソースの下に導入しました。 [ 登録プロファイルの更新 ] 権限を使用すると、管理者は、デバイスの登録に使用される AOSP と Android Enterprise Device Owner の両方の登録プロファイルを管理または変更できます。

詳細については、「 カスタム ロールの作成」を参照してください。

2023 年 7 月 31 日の週

デバイスのセキュリティ

Intune のエンドポイント セキュリティ ディスク暗号化ポリシーの新しい BitLocker プロファイル

エンドポイント セキュリティ ディスク暗号化ポリシー用の新しい BitLocker プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成した BitLocker ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しい BitLocker ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

アプリ管理

Windows ポータル サイトを使用して Win32 および Microsoft ストア アプリをアンインストールする

アプリが使用可能として割り当てられ、エンド ユーザーによってオンデマンドでインストールされている場合、エンド ユーザーは Windows ポータル サイトを使用して Win32 アプリと Microsoft ストア アプリをアンインストールできます。 Win32 アプリの場合、この機能を有効または無効にするオプションがあります (既定ではオフ)。 Microsoft ストア アプリの場合、この機能は常にオンであり、エンド ユーザーが使用できます。 エンド ユーザーがアプリをアンインストールできる場合、エンド ユーザーは Windows ポータル サイトでアプリの [アンインストール ] を選択できます。 関連情報については、「Microsoft Intune にアプリを追加する」をご覧ください。

2023 年 7 月 24 日の週 (サービス リリース 2307)

アプリ管理

Intune では、新しい Google Play Android Management API がサポートされています

マネージド Google Play パブリック アプリの Intune での管理方法が変更されました。 これらの変更は、 Google の Android Management API をサポートするため です (Google の Web サイトが開きます)。

適用対象:

• Android Enterprise

管理者とユーザー エクスペリエンスの変更の詳細については、「 サポート ヒント: Intune を移行して新しい Google Play Android Management API をサポートする」を参照してください。

Android Enterprise 企業所有デバイスのアプリ レポート

Android Enterprise 企業所有のシナリオ (システム アプリを含む) のデバイスで見つかったすべてのアプリを含むレポートを表示できるようになりました。 このレポートは、 Microsoft Intune 管理センター で [ アプリ>Monitor>検出されたアプリ] を選択して使用できます。 デバイスにインストール済みとして検出されたすべてのアプリの アプリケーション名 と バージョン が表示されます。 アプリ情報がレポートに設定されるまでに最大 24 時間かかることがあります。

関連情報については、「 Intune で検出されたアプリ」を参照してください。

管理されていない PKG 型アプリケーションをマネージド macOS デバイスに追加する [パブリック プレビュー]

macOS デバイス用の Intune MDM エージェントを使用して、管理されていない PKG 型アプリケーションをマネージド macOS デバイスにアップロードして展開できるようになりました。 この機能を使用すると、署名されていないアプリやコンポーネント パッケージなどのカスタム PKG インストーラーをデプロイできます。 Intune 管理センターで PKG アプリを追加するには、アプリの種類として [アプリ>macOS>Add>macOS アプリ (PKG) を選択します。

適用対象:

• macOS

詳細については、「 アンマネージド macOS PKG アプリを Microsoft Intune に追加する」を参照してください。 マネージド PKG 型アプリを展開するには、引き続き macOS 基幹業務 (LOB) アプリを Microsoft Intune に追加できます。 macOS デバイス用の Intune MDM エージェントの詳細については、「 macOS 用 Microsoft Intune 管理エージェント」を参照してください。

iOS/iPadOS Web クリップ アプリの種類で使用できる新しい設定

Intune では、iOS/iPadOS デバイス (Apps>iOS/iPadOS>Add>iOS/iPadOS Web クリップ) に Web アプリをピン留めできます。 Web クリップを追加すると、使用可能な新しい設定があります。

• 全画面表示: [はい] に構成されている場合は、ブラウザーを使用せずに Web クリップを全画面表示 Web アプリとして起動します。 URL や検索バーはなく、ブックマークもありません。
• マニフェスト スコープを無視する: [はい] に構成されている場合、全画面表示の Web クリップは Safari UI を表示せずに外部 Web サイトに移動できます。 それ以外の場合は、Web クリップの URL から離れるときに Safari UI が表示されます。 [ 全画面表示 ] が [いいえ] に設定されている場合、この設定は無効です。 iOS 14 以降で使用できます。
• 事前計算済み: [はい] に構成されている場合、Apple のアプリケーション起動ツール (SpringBoard) がアイコンに "輝き" を追加できなくなります。
• ターゲット アプリケーション バンドル識別子: URL を開くアプリケーションを指定するアプリケーション バンドル識別子を入力します。 iOS 14 以降で使用できます。

適用対象:

• iOS/iPadOS

詳細については、「 Microsoft Intune に Web アプリを追加する」を参照してください。

Windows PowerShell スクリプトを追加するときに既定の設定に変更する

Intune では、ポリシーを使用して Windows PowerShell スクリプトを Windows デバイス (デバイス>Scripts>Add>Windows 10 以降) に展開できます。 Windows PowerShell スクリプトを追加すると、構成する設定があります。 Intune のセキュリティで保護された既定の動作を増やすには、次の設定の既定の動作が変更されています。

• [ログオンした資格情報を使用してこのスクリプトを実行する] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。
• [ スクリプト署名の強制チェック] 設定の既定値は [はい] です。 以前は、既定値は [いいえ] でした。

この動作は、既存のスクリプトではなく、追加した新しいスクリプトに適用されます。

適用対象:

• Windows 10 以降 (Windows 10 Home を除く)

Intune での Windows PowerShell スクリプトの使用の詳細については、「Intune で Windows 10/11 デバイスで PowerShell スクリプトを使用する」を参照してください。

デバイス構成

スコープ タグのサポートを追加しました

Zebra LifeGuard Over-the-Air 統合 (パブリック プレビュー) を使用してデプロイを作成するときにスコープ タグを追加できるようになりました。

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログで確認できます。

Microsoft AutoUpdate (MAU):

• 現在のチャネル (月単位)

Microsoft Defender > ユーザー インターフェイスの基本設定:

• コンシューマー バージョンへのサインインを制御する

Microsoft Office > Microsoft Outlook:

• 無効にする Do not send response

ユーザー エクスペリエンスの > Dock:

• MCX Dock の特別なフォルダー

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

MAC アドレス エンドポイントのコンプライアンス取得サービスのサポート

コンプライアンス取得サービスに MAC アドレスのサポートが追加されました。

CR サービスの最初のリリースでは、シリアル番号や MAC アドレスなどの内部識別子を管理する必要をなくすために、意図を持つ Intune デバイス ID のみを使用するためのサポートが含まれていました。 この更新プログラムにより、証明書認証よりも MAC アドレスを使用することを希望する組織は、CR サービスの実装中も引き続き使用できます。

この更新プログラムは CR サービスに MAC アドレスのサポートを追加しますが、証明書に含まれる Intune デバイス ID で証明書ベースの認証を使用することをお勧めします。

Intune ネットワーク アクセス制御 (NAC) サービスの代替としての CR サービスの詳細については、 https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696の Intune ブログを参照してください。

Intune セキュリティ ベースライン内の設定の分析情報が一般公開

Microsoft Intune での設定分析情報の一般提供についてお知らせします。

[設定分析情報] 機能を使用すると、設定に分析情報が追加され、同様の組織で正常に採用された構成に自信を持つことができます。 設定の分析情報は現在、セキュリティ ベースラインで使用できます。

[エンドポイント セキュリティ>セキュリティ ベースライン] に移動します。 ワークフローの作成と編集中に、これらの分析情報は電球を使用するすべての設定で使用できます。

デバイスのセキュリティ

Azure Virtual Desktop での Windows の改ざん防止のサポート

Intune では、エンドポイント セキュリティ ウイルス対策ポリシー を使用して、Azure Virtual Desktop マルチセッション デバイス上の Windows の 改ざん防止 を管理できるようになりました。 改ざん防止のサポートでは、改ざん防止を有効にするポリシーが適用される前に、デバイスが Microsoft Defender for Endpoint にオンボードされている必要があります。

エンドポイント特権管理用の EpmTools PowerShell モジュール

EpmTools PowerShell モジュールは、Intune エンドポイント特権管理 (EPM) で使用できるようになりました。 EpmTools には、ファイルの詳細を取得するために使用できる Get-FileAttributes などのコマンドレットや、EPM ポリシーのデプロイのトラブルシューティングや診断に使用できるその他のコマンドレットが含まれています。

詳細については、「 EpmTools PowerShell モジュール」を参照してください。

子プロセスの昇格規則を管理するためのエンドポイント特権管理のサポート

Intune Endpoint Privilege Management (EPM) を使用すると、Windows デバイスで 管理者として実行 できるファイルとプロセスを管理できます。 EPM 昇格ルール では、新しい設定である 子プロセスの動作がサポートされるようになりました。

子プロセスの動作では、ルールは、マネージド プロセスによって作成されたすべての子プロセスの昇格コンテキストを管理できます。 オプションは以下のとおりです。

• マネージド プロセスによって作成されたすべての子プロセスを常に管理者特権で実行できるようにします。
• 親プロセスを管理するルールと一致する場合にのみ、子プロセスを管理者特権で実行できるようにします。
• すべての子プロセスが昇格されたコンテキストで実行されることを拒否します。その場合は、標準ユーザーとして実行されます。

エンドポイント特権管理は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Dooray! for Intune

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

コンプライアンスとポリシーコンプライアンスの設定に関する更新されたレポートがパブリック プレビューに含まれる

Intune デバイス コンプライアンスのパブリック プレビューとして、2 つの新しいレポートをリリースしました。 これらの新しいプレビュー レポートは、Intune 管理センターの レポート>Device compliance>Reports タブにあります 。

• コンプライアンスの設定 (プレビュー)
• ポリシーコンプライアンス (プレビュー)

どちらのレポートも既存のレポートの新しいインスタンスであり、次のような古いバージョンよりも改善されています。

• Linux の設定とデバイスの詳細
• ビューの並べ替え、検索、フィルター処理、エクスポート、ページングのサポート
• 詳細については、ドリルダウン レポートを選択した列に基づいてフィルター処理します。
• デバイスは 1 回で表されます。 この動作は元のレポートとは対照的で、複数のユーザーがそのデバイスを使用した場合、デバイスが複数回カウントされる可能性があります。

最終的には、管理センターのデバイス > Monitor で引き続き使用できる古いレポート バージョンは廃止されます。

2023 年 7 月 10 日の週

アプリ管理

アプリ構成ポリシーレポートの更新

Intune レポート インフラストラクチャの改善に向けた継続的な取り組みの一環として、アプリ構成ポリシー レポートのユーザー インターフェイス (UI) の変更がいくつか行われています。 UI は、次の変更で更新されました。

• [アプリ構成ポリシー] ワークロードの [概要] セクションに [ユーザー状態] タイルまたは [適用できないデバイス] タイルがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションに [ユーザーのインストール状態] レポートがありません。
• [アプリ構成ポリシー] ワークロードの [監視] セクションの [デバイスのインストール状態] レポートに、[状態] 列に [保留中] 状態が表示されなくなりました。

Microsoft Intune 管理センターで [アプリ] > [アプリ構成ポリシー] を選択して、ポリシー レポートを構成できます。

2023 年 7 月 3 日の週

デバイス管理

Android 13 での Zebra デバイスの Intune サポート

Zebra は、デバイスで Android 13 のサポートをリリースする予定です。 詳細については、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の一時的な問題

  Intune チームは、Zebra デバイスで Android 13 を徹底的にテストしました。 デバイス管理者 (DA) デバイスの次の 2 つの一時的な問題を除き、すべてが正常に動作し続けます。

  Android 13 を実行し、DA 管理に登録されている Zebra デバイスの場合:

  1. アプリのインストールはサイレントモードでは行われません。 代わりに、ユーザーはポータル サイト アプリ (通知を許可する場合) から通知を受け取り、アプリのインストールを許可するアクセス許可を求めます。 プロンプトが表示されたときにユーザーがアプリのインストールを受け入れない場合、アプリはインストールされません。 ユーザーがインストールを許可するまで、通知ドロワーに永続的な通知が表示されます。

  2. 新しい MX プロファイルは Android 13 デバイスには適用されません。 新しく登録された Android 13 デバイスは、MX プロファイルから構成を受信しません。 登録済みデバイスに以前に適用した MX プロファイルは引き続き適用されます。

  7 月の後半にリリースされる更新プログラムでは、これらの問題が解決され、動作は以前の動作に戻ります。

• デバイスを Android 13 に更新する

  すぐに Intune の Zebra LifeGuard Over-the-Air 統合を使用して、Android Enterprise 専用およびフル マネージド デバイスを Android 13 に更新できるようになります。 詳細については、「 Zebra LifeGuard Over-the-Air Integration with Microsoft Intune」を参照してください。

  Android 13 に移行する前に、「 Android 13 への移行 (Zebra の Web サイトを開く)」を参照してください。

• Android 13 の Zebra デバイス用 OEMConfig

  Android 13 の Zebra デバイス用 OEMConfig には、Zebra の新しい Zebra OEMConfig Powered by MX OEMConfig アプリ を使用する必要があります (Google Play ストアが開きます)。 この新しいアプリは、Android 11 を実行している Zebra デバイスでも使用できますが、以前のバージョンでは使用できません。

  このアプリの詳細については、 Android 11 以降の新しい Zebra OEMConfig アプリ に関するブログ記事を参照してください。

  レガシ Zebra OEMConfig アプリ (Google Play ストアが開きます) は、Android 11 以前を実行している Zebra デバイスでのみ使用できます。

Intune Android 13 のサポートに関する一般的な情報については、Microsoft Intune のブログ投稿で Android 13 の Day Zero サポートに 関するページを参照してください。

デバイスのセキュリティ

Defender for Endpoint セキュリティ設定の管理の強化と、パブリック プレビューでの Linux と macOS のサポート

Defender for Endpoint セキュリティ設定管理では、Intune のエンドポイント セキュリティ ポリシーを使用して、Defender for Endpoint にオンボードされているが Intune に登録されていないデバイスで Defender セキュリティ設定を管理できます。

これで、Microsoft Defender ポータル内からパブリック プレビューにオプトインして、このシナリオのいくつかの拡張機能にアクセスできるようになりました。

• Intune のエンドポイント セキュリティ ポリシーが表示され、Microsoft Defender ポータル内から管理できます。 これにより、セキュリティ管理者は Defender ポータルに残り、Defender セキュリティ設定管理の Defender と Intune エンドポイント セキュリティ ポリシーを管理できます。

• セキュリティ設定管理では、Linux と macOS を実行するデバイスへの Intune エンドポイント セキュリティ ウイルス対策ポリシーの展開がサポートされています。

• Windows デバイスの場合、セキュリティ設定管理で Windows セキュリティ エクスペリエンス プロファイルがサポートされるようになりました。

• 新しいオンボード ワークフローでは、Microsoft Entra ハイブリッド参加の前提条件が削除されます。 Microsoft Entra ハイブリッド参加の要件により、多くの Windows デバイスが Defender for Endpoint のセキュリティ設定管理に正常にオンボードすることができなかった。 この変更により、これらのデバイスは登録を完了し、セキュリティ設定管理のポリシーの処理を開始できるようになりました。

• Intune は、Microsoft Entra ID に完全に登録できないデバイスに対して、Microsoft Entra ID に代理登録を作成します。 合成登録は、Microsoft Entra ID で作成されたデバイス オブジェクトであり、デバイスがセキュリティ設定管理のために Intune ポリシーを受信して報告できるようにします。 さらに、合成登録を持つデバイスが完全に登録された場合は、完全な登録を延期して、合成登録が Microsoft Entra ID から削除されます。

Defender for Endpoint Public Preview にオプトインしない場合、以前の動作は維持されます。 この場合、Linux のウイルス対策プロファイルを表示できますが、Defender によって管理されているデバイスに対してのみサポートされるように展開することはできません。 同様に、Intune に登録されているデバイスで現在使用できる macOS プロファイルは、Defender によって管理されているデバイスに展開できません。

適用対象:

• Linux
• macOS
• Windows

2023 年 6 月 26 日の週

デバイス構成

Android (AOSP) では、割り当てフィルターがサポートされています

Android (AOSP) では、割り当てフィルターがサポートされています。 Android (AOSP) のフィルターを作成する場合は、次のプロパティを使用できます。

• DeviceName
• 製造元
• モデル
• DeviceCategory
• oSVersion
• IsRooted
• DeviceOwnership
• EnrollmentProfileName

フィルターの詳細については、「 Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

適用対象:

• Android

Windows デバイスのオンデマンド修復

パブリック プレビュー段階の新しいデバイス アクションを使用すると、1 つの Windows デバイスでオンデマンドで修復を実行できます。 [修復デバイスの実行] アクションを使用すると、割り当てられたスケジュールで修復が実行されるのを待たずに問題を解決できます。 また、デバイスの [監視] セクションの [修復] で修復の状態を表示することもできます。

[修復デバイスの実行] アクションがロールアウトされ、すべての顧客に到達するまでに数週間かかる場合があります。

詳細については、「 修復」を参照してください。

デバイス管理

Intune での Windows ドライバー更新プログラムの管理は一般公開されています

Microsoft Intune での Windows ドライバー更新プログラム管理 の一般提供についてお知らせします。 ドライバー更新ポリシーを使用すると、ポリシーに割り当てられている Windows 10 および Windows 11 デバイスに推奨および適用されるドライバー更新プログラムの一覧を表示できます。 該当するドライバーの更新プログラムは、デバイスのドライバーバージョンを更新できる更新プログラムです。 ドライバーの更新ポリシーは、ドライバーの製造元によって発行された新しい更新プログラムを追加し、ポリシーを使用してデバイスに適用されなくなった古いドライバーを削除するために自動的に更新されます。

更新ポリシーは、次の 2 つの承認方法のいずれかに対して構成できます。

• 自動承認では、ドライバーの製造元によって発行され、ポリシーに追加された新しい推奨ドライバーはそれぞれ、該当するデバイスへの展開が自動的に承認されます。 自動承認用に設定されたポリシーは、自動的に承認された更新プログラムがデバイスにインストールされるまでの延期期間で構成できます。 この遅延により、ドライバーを確認し、必要に応じてそのデプロイを一時停止する時間が得られます。

• 手動による承認では、すべての新しいドライバー更新プログラムがポリシーに自動的に追加されますが、Windows Update がデバイスに展開する前に、管理者が各更新プログラムを明示的に承認する必要があります。 更新プログラムを手動で承認する場合は、Windows Update がデバイスへの展開を開始する日付を選択します。

ドライバーの更新プログラムを管理するために、ポリシーを確認し、インストールしない更新プログラムを拒否します。 また、承認済みの更新プログラムを無期限に一時停止し、一時停止した更新プログラムを再び実行してデプロイを再開することもできます。

このリリースには、成功の概要、承認されたドライバーごとのデバイスごとの更新状態、エラーとトラブルシューティングの情報を提供するドライバー更新 レポート も含まれています。 個々のドライバーの更新プログラムを選択し、そのドライバーのバージョンを含むすべてのポリシーで詳細を表示することもできます。

Windows ドライバー更新ポリシーの使用方法については、「 Microsoft Intune での Windows ドライバー更新プログラムのポリシーの管理」を参照してください。

適用対象:

• Windows 10
• Windows 11

2023 年 6 月 19 日の週 (サービス リリース 2306)

アプリ管理

MAM for Microsoft Edge for Business [プレビュー]

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にできるようになりました。 この機能では、次の機能が使用されます。

• Microsoft Edge で組織のユーザー エクスペリエンスをカスタマイズするための Intune アプリケーション構成ポリシー (ACP)
• 組織データをセキュリティで保護し、Microsoft Edge を使用するときにクライアント デバイスが正常であることを確認するための Intune アプリケーション保護ポリシー (APP)
• 個人の Windows デバイスでローカルの正常性の脅威を検出するために Intune APP と統合された Windows Defender クライアント脅威防御
• Microsoft Entra ID を介して保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認するためのアプリケーション保護条件付きアクセス

詳細については、「 プレビュー: Windows のアプリ保護ポリシー設定」を参照してください。

パブリック プレビューに参加するには、 オプトイン フォームに入力します。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

iOS/iPadOS

ネットワーク > ネットワーク使用状況ルール:

• SIM ルール

macOS

認証 > 拡張可能シングル サインオン (SSO):

• 認証方法
• 拒否されたバンドル識別子
• 登録トークン

完全ディスク暗号化 > FileVault:

• 出力パス
• Username
• Password
• UseKeyChain

デバイス ファームウェア構成インターフェイス (DFCI) では、Asus デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイスを選択します。

Windows 10/11 を実行している一部の Asus デバイスでは、DFCI が有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune の Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Saaswedo Datalert の通信経費管理が Intune で削除される

Intune では、Saaswedo の Datalert 通信経費管理を使用して通信費用を管理できます。 この機能は Intune から削除されます。 この削除には、次のものが含まれます。

• Telecom Expense Management コネクタ

• 通信費 RBAC カテゴリ

  • 読み取り アクセス許可
  • 更新 アクセス許可

Saaswedo の詳細については、「 Datalert サービスが使用できない (Saaswedo の Web サイトを開く)」を参照してください。

適用対象:

• Android
• iOS/iPadOS

Intune セキュリティ ベースライン内の設定の分析情報

[設定分析情報] 機能により、セキュリティ ベースラインに分析情報が追加され、同様の組織で正常に採用された構成に自信を持たすことができます。

[エンドポイント セキュリティ>セキュリティ ベースライン] に移動します。 ワークフローを作成して編集すると、これらの分析情報を電球の形式で使用できます。

デバイス管理

プレビュー段階の新しいエンドポイント セキュリティ アプリケーション制御ポリシー

パブリック プレビューとして、新しいエンドポイント セキュリティ ポリシー カテゴリであるアプリケーション制御を使用できます。 エンドポイント セキュリティ アプリケーション制御ポリシーには、次のものが含まれます。

• Intune 管理拡張機能をテナント全体のマネージド インストーラーとして設定するポリシー。 マネージド インストーラーとして有効にすると、(マネージド インストーラーの有効化後に) Intune を介して Windows デバイスに展開するアプリは、Intune によってインストールされたタグとしてタグ付けされます。 このタグは、アプリケーション制御ポリシーを使用して、管理対象デバイスでの実行を許可またはブロックするアプリを管理するときに役立ちます。

• Defender Application Control (WDAC) の実装であるアプリケーション制御ポリシー。 エンドポイント セキュリティ アプリケーション制御ポリシーを使用すると、信頼されたアプリをマネージド デバイスで実行できるようにするポリシーを簡単に構成できます。 信頼されたアプリは、マネージド インストーラーまたはアプリ ストアからインストールされます。 これらのポリシーでは、組み込みの信頼設定に加えて、アプリケーション制御用のカスタム XML もサポートされているため、組織の要件を満たすために他のソースの他のアプリを実行できます。

この新しいポリシーの種類の使用を開始するには、「アプリケーション制御ポリシーを使用して Windows デバイスの承認済みアプリを管理する」と「Microsoft Intune 用のマネージド インストーラー」を参照してください。

適用対象:

• Windows 10
• Windows 11

エンドポイント分析は、Government クラウドのテナントで使用できます

このリリースでは、Endpoint Analytics を Government クラウドのテナントで使用できます。

エンドポイント分析の詳細については、こちらをご覧ください。

リモート ヘルプでのセッション内接続モード スイッチの概要

リモート ヘルプでは、セッション内接続モード切り替え機能を利用できるようになりました。 この機能は、フル コントロールモードとビューのみのモード間を簡単に切り替え、柔軟性と利便性を提供します。

リモート ヘルプの詳細については、「 リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

デバイスのセキュリティ

エンドポイント特権管理レポートへの更新

Intune のエンドポイント特権管理 (EPM) レポートで、レポートの完全なペイロードを CSV ファイルにエクスポートできるようになりました。 この変更により、Intune の昇格レポートからすべてのイベントをエクスポートできるようになりました。

Windows 11 の最上位メニューで管理者特権アクセス オプションを使用してエンドポイント特権管理を実行できるようになりました

[管理者特権で実行] の [Endpoint Privilege Management] オプションが、Windows 11 デバイスの最上位の右クリック オプションとして使用できるようになりました。 この変更の前に、標準ユーザーは [ その他のオプションを表示 する] を選択して、Windows 11 デバイスで 管理者特権でアクセスを実行 するプロンプトを表示する必要がありました。

エンドポイント特権管理 は、Intune アドオンとして使用できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

適用対象:

• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Idenprotect Go by Apply Mobile Ltd (Android)
• LiquidText by LiquidText, Inc. (iOS)
• MyQ Roger: OCR スキャナー PDF by MyQ spol. s r.o.
• CiiMS GO by Online Intelligence (Pty) Ltd
• Vbrick Mobile by Vbrick Systems

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Microsoft Intune のトラブルシューティング ウィンドウが一般公開されました

Intune のトラブルシューティング ウィンドウが一般公開されました。 ユーザーのデバイス、ポリシー、アプリケーション、および状態に関する詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイス診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

Microsoft Intune 管理センターで [トラブルシューティングとサポート>Troubleshoot] を選択すると、トラブルシューティング ウィンドウが表示されます。

Intune の [トラブルシューティングとサポート] ウィンドウが更新されました

Intune 管理センターの [ トラブルシューティングとサポート ] ウィンドウは、[ ロールとスコープ ] レポートを 1 つのレポートに統合することで更新されました。 このレポートには、Intune と Microsoft Entra ID の両方から関連するすべてのロールとスコープ データが含まれるようになり、より効率的で効率的なエクスペリエンスが提供されます。 関連情報については、「 トラブルシューティング ダッシュボードを使用して会社のユーザーを支援する」を参照してください。

モバイル アプリ診断をダウンロードする

Intune 管理センターでユーザーが送信したモバイル アプリ診断 (Windows、iOS、Android、Android AOSP、macOS を含むポータル サイト アプリ経由で送信されるアプリ ログを含む) にアクセスできるようになりました。 さらに、Microsoft Edge を介してアプリ保護ログを取得できます。 詳細については、「 ポータル サイト アプリ ログ 」および「 Microsoft Edge for iOS および Android を使用してマネージド アプリ ログにアクセスする」を参照してください。

2023 年 6 月 12 日の週

デバイス管理

Android オープン ソース デバイス用の Microsoft Intune でサポートされている HTC とピコの新しいデバイス

Microsoft Intune for Android オープン ソース プロジェクト デバイス (AOSP) では、次のデバイスがサポートされるようになりました。

• HTC Vive XR Elite
• ピコ ネオ 3 Pro
• ピコ 4

詳細については、以下を参照してください:

• Microsoft Intune でサポートされているオペレーティング システムとブラウザー

• Android オープン ソース プロジェクトでサポートされているデバイス

適用対象:

• Android (AOSP)

アプリ管理

ビジネス向け Microsoft Store または教育機関向け Microsoft Store

ビジネス向け Microsoft Store または Microsoft Store for Education から追加されたアプリは、デバイスとユーザーには展開されません。 アプリはレポートで "適用不可" と表示されます。 既にデプロイされているアプリは影響を受けません。 新しい Microsoft Store アプリを使用して、デバイスまたはユーザーに Microsoft Store アプリを展開します。 関連情報については、「 プラン for Change: Business および Education アプリのサポートを終了 する」を参照してください。Microsoft Store for Business アプリが展開されなくなり、Microsoft Store for Business アプリが削除される予定です。

詳細については、次のリソースを参照してください。

• Windows 上の Microsoft Store と Intune との統合への更新
• Intune で Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド
• Intune for Education で Microsoft Store の未来を受け入れる: ステップ バイ ステップ ガイド

2023 年 6 月 5 日の週

デバイス構成

Android Enterprise 11 以降のデバイスでは、Zebra の最新の OEMConfig アプリ バージョンを使用できます

Android Enterprise デバイスでは、OEMConfig を使用して、Microsoft Intune (デバイス>Manage デバイス>Configuration>Create>New policy>Android Enterprise for platform >OEMConfig) で OEM 固有の設定を追加、作成、カスタマイズできます。

新しい Zebra OEMConfig Powered by MX OEMConfig アプリがあり、Google の標準に合わせて調整されています。 このアプリは、Android Enterprise 11.0 以降のデバイスをサポートしています。

以前 のレガシ Zebra OEMConfig アプリは、引き続き Android 11 以前のデバイスをサポートしています。

マネージド Google Play には、Zebra OEMConfig アプリの 2 つのバージョンがあります。 Android デバイスのバージョンに適用される正しいアプリを必ず選択してください。

OEMConfig と Intune の詳細については、「 Microsoft Intune で OEMConfig を使用して Android Enterprise デバイスを使用および管理する」を参照してください。

適用対象:

• Android Enterprise 11.0 以降

2023 年 5 月 29 日の週

デバイス管理

Intune UI では、Microsoft Defender for Endpoint のセキュリティ管理シナリオで Windows クライアントとは異なる Windows Server デバイスが表示されます

Microsoft Defender for Endpoint (MDE セキュリティ構成) のセキュリティ管理シナリオをサポートするために、Intune は Microsoft Entra ID の Windows デバイスを、Windows Server を実行するデバイスの場合は Windows Server、Windows 10 または Windows 11 を実行するデバイスの場合は Windows と区別するようになりました。

この変更により、MDE セキュリティ構成のポリシー ターゲットを改善できます。 たとえば、Windows Server デバイスのみ、または Windows クライアント デバイス (Windows 10/11) のみで構成される動的グループを使用できます。

この変更の詳細については、「Intune カスタマー サクセス ブログ Windows Server デバイスが Microsoft Intune、Microsoft Entra ID、Defender for Endpoint で新しい OS として認識されるようになりました 」を参照してください。

テナント管理

Windows 11 の組織のメッセージが一般公開されました

組織のメッセージを使用して、ブランド化されたパーソナライズされた行動喚起を従業員に配信します。 15 の異なる言語で、デバイスのオンボードとライフサイクル管理を通じて従業員をサポートする 25 を超えるメッセージから選択します。 メッセージは Microsoft Entra ユーザー グループに割り当てることができます。 タスク バーのすぐ上、通知領域、または Windows 11 を実行しているデバイスの [開始] アプリに表示されます。 Intune で構成した頻度に基づいて、ユーザーがカスタマイズした URL にアクセスするまで、メッセージは引き続き表示または再表示されます。

このリリースで追加されたその他の機能は次のとおりです。

• 最初のメッセージの前にライセンス要件を確認します。
• タスク バー メッセージ用の 8 つの新しいテーマから選択します。
• メッセージにカスタム名を付けます。
• スコープ グループとスコープ タグを追加します。
• スケジュールされたメッセージの詳細を編集します。

スコープ タグは、以前は組織のメッセージで使用できませんでした。 スコープ タグのサポートが追加された Intune では、2023 年 6 月より前に作成されたすべてのメッセージに既定のスコープ タグが追加されます。 これらのメッセージにアクセスする管理者は、同じタグを持つロールに関連付ける必要があります。 使用可能な機能と組織のメッセージを設定する方法の詳細については、「 組織のメッセージの概要」を参照してください。

2023 年 5 月 22 日の週 (サービス リリース 2305)

アプリ管理

macOS シェル スクリプトの最大実行時間制限に更新する

お客様からのフィードバックに基づいて、macOS 用 Intune エージェント (バージョン 2305.019) が更新され、スクリプトの最大実行時間が 60 分に延長されます。 以前は、macOS 用の Intune エージェントでは、エラーとしてスクリプトを報告する前に、シェル スクリプトの実行を最大 15 分間だけ許可しました。 macOS 2206.014 以降の Intune エージェントでは、60 分のタイムアウトがサポートされています。

割り当てフィルターは、アプリ保護ポリシーとアプリ構成ポリシーをサポートします

割り当てフィルターは、MAM アプリ保護ポリシーとアプリ構成ポリシーをサポートします。 新しいフィルターを作成するときに、次のプロパティを使用して MAM ポリシー ターゲットを微調整できます。

• デバイス管理の種類
• デバイスの製造元
• デバイス モデル
• OS のバージョン
• アプリケーションのバージョン
• MAM クライアント バージョン

フィルターの詳細については、「 Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

Intune で MAM レポートに更新する

MAM レポートは簡素化され、オーバーホールされ、Intune の最新のレポート インフラストラクチャが使用されるようになりました。 この利点には、データの精度の向上と即時更新が含まれます。 これらの合理化された MAM レポートは、 Microsoft Intune 管理センター で [ アプリ>Monitor] を選択することで確認できます。 使用可能なすべての MAM データは、新しい アプリ保護状態 レポートと アプリ構成状態レポートに 含まれています。

グローバルな静音時間アプリ ポリシー設定

グローバルな静音時間設定を使用すると、エンド ユーザーの静かな時間をスケジュールするポリシーを作成できます。 これらの設定は、iOS/iPadOS および Android プラットフォームで Microsoft Outlook のメールと Teams の通知を自動的にミュートします。 これらのポリシーを使用して、勤務時間後に受け取ったエンド ユーザー通知を制限できます。 詳細については、「 静かな時間通知ポリシー」を参照してください。

デバイス構成

リモート ヘルプでの拡張チャットの概要

リモート ヘルプを使用した拡張チャットの概要。 新しく強化されたチャットを使用すると、すべてのメッセージの継続的なスレッドを維持できます。 このチャットでは、特殊文字やその他の言語 (中国語、アラビア語など) がサポートされます。

リモート ヘルプの詳細については、「 リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

リモート ヘルプ管理者が監査ログ セッションを参照できる

リモート ヘルプでは、既存のセッション レポートに加えて、管理者は Intune で作成された監査ログ セッションを参照できるようになりました。 この機能を使用すると、管理者はログ アクティビティのトラブルシューティングと分析のために過去のイベントを参照できます。

リモート ヘルプの詳細については、「 リモート ヘルプ」を参照してください。

適用対象:

• Windows 10
• Windows 11

設定カタログを使用して Windows 11 デバイスの個人データ暗号化をオンまたはオフにする

設定カタログには、デバイスを構成して展開できる何百もの設定が含まれています。

設定カタログでは、 個人データ暗号化 (PDE) のオン/オフを切り替えることができます。 PDE は、Windows 11 バージョン 22H2 で導入されたセキュリティ機能で、Windows の暗号化機能が強化されています。

PDE は BitLocker とは異なります。 PDE は、ボリュームとディスク全体ではなく、個々のファイルとコンテンツを暗号化します。 PDE は、BitLocker などの他の暗号化方法と共に使用できます。

設定カタログの詳細については、次を参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intune の設定カタログを使用して完了できる一般的なタスク

この機能は、以下に適用されます。

• Windows 11

Visual Studio ADMX の設定は、[設定カタログ] と [管理用テンプレート] にあります

Visual Studio の設定は、設定カタログと管理用テンプレート (ADMX) に含まれています。 以前は、Windows デバイスで Visual Studio 設定を構成するために、ADMX インポートでインポートしました。

これらのポリシーの種類の詳細については、以下を参照してください。

• 設定カタログを使用して設定を構成する
• Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成する
• Visual Studio 管理テンプレート (ADMX)

適用対象:

• Windows 10
• Windows 11

グループ ポリシー分析ではスコープ タグがサポートされます

グループ ポリシー分析では、オンプレミスの GPO をインポートします。 このツールは GPO を分析し、Intune で使用できる (使用できない) 設定を示します。

Intune で GPO XML ファイルをインポートするときに、既存のスコープ タグを選択できます。 スコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に選択されます。 以前は、GPO をインポートしたときに、割り当てられたスコープ タグが GPO に自動的に適用されていました。

インポートされたポリシーを表示できるのは、そのスコープ タグ内の管理者のみです。 そのスコープ タグに含まれていない管理者は、インポートされたポリシーを表示できません。

また、スコープ タグ内の管理者は、表示するアクセス許可を持つインポートされたポリシーを移行できます。 インポートした GPO を設定カタログ ポリシーに移行するには、インポートされた GPO にスコープ タグを関連付ける必要があります。 スコープ タグが関連付けられていない場合は、設定カタログ ポリシーに移行できません。 スコープ タグが選択されていない場合、既定のスコープ タグが自動的に適用されます。

スコープ タグとグループ ポリシー分析の詳細については、次を参照してください。

• Microsoft Intune でグループ ポリシー分析を使用してオンプレミス GPO を分析する
• インポートした GPO を使用して設定カタログ ポリシーを作成する
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

Zebra Lifeguard Over-the-Air サービスとの Intune 統合の概要 (パブリック プレビュー)

パブリック プレビューで利用可能になった Microsoft Intune では、Zebra Lifeguard Over-the-Air サービスとの統合がサポートされています。これにより、Intune に登録されている対象となる Zebra デバイスに OS の更新プログラムとセキュリティ パッチを空中で配信できます。 展開するファームウェア バージョンを選択し、スケジュールを設定し、更新プログラムのダウンロードとインストールをずらすことができます。 また、更新プログラムが発生する可能性がある場合の最小バッテリー、充電状態、およびネットワーク条件の要件を設定することもできます。

Android 8 以降を実行しており、Zebra を使用するアカウントが必要な Android Enterprise Dedicated デバイスとフル マネージド Zebra デバイスで使用できます。

仕事用プロファイルを持つ Android Enterprise 個人所有デバイスの新しい Google ドメイン許可リスト設定

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。

現在、Google アカウントを仕事用プロファイルに追加できる [アカウントの追加 と削除 ] 設定があります。 この設定では、[ すべてのアカウントの種類を許可する] を選択すると、次の構成も行うことができます。

• Google ドメイン許可リスト: ユーザーが仕事用プロファイルに特定の Google アカウント ドメインのみを追加するように制限します。 許可されているドメインの一覧をインポートするか、 contoso.com 形式を使用して管理センターに追加できます。 空白のままにすると、既定では、OS によって仕事用プロファイルにすべての Google ドメインの追加が許可される場合があります。

構成できる設定の詳細については、「 Android Enterprise デバイス設定の一覧」を参照して、Intune を使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

プロアクティブ修復の名前を修復に変更し、新しい場所に移動する

プロアクティブな修復が修復され、 デバイス>修復から使用できるようになりました。 次の Intune サービスが更新されるまで、新しい場所と既存の レポート>Endpoint Analytics の場所の 両方に修復が表示されます。

修復は現在、新しい デバイス エクスペリエンス プレビューでは使用できません。

適用対象:

• Windows 10
• Windows 11

米国政府機関 GCC High と DoD の Intune で修復を利用できるようになりました

修復 (以前はプロアクティブ修復と呼ばれる) は、 Microsoft Intune for US Government GCC High および DoD で利用できるようになりました。

適用対象:

• Windows 10
• Windows 11

Windows デバイス上の VPN プロファイルの受信および送信ネットワーク トラフィックルールを作成する

デバイスへの VPN 接続 (デバイス>管理デバイス>Configuration>Create>New policy>プラットフォーム>Templates>VPN for profile type) に展開するデバイス構成プロファイルを作成できます。

この VPN 接続では、 アプリとトラフィックルール の設定を使用して、ネットワーク トラフィック ルールを作成できます。

構成できる新しい [方向 ] 設定があります。 VPN 接続からの受信トラフィックと送信トラフィックを許可するには、次の設定を使用します。

• 送信 (既定値): VPN を使用してフローする外部ネットワーク/宛先へのトラフィックのみを許可します。 受信トラフィックが VPN に入り込むのがブロックされます。
• 受信: VPN を使用してフローする外部ネットワーク/ソースからのトラフィックのみを許可します。 送信トラフィックは VPN への入り込みからブロックされます。

ネットワーク トラフィック ルールの設定など、構成できる VPN 設定の詳細については、「 Intune を使用して VPN 接続を追加するための Windows デバイス設定」を参照してください。

適用対象:

• Windows 10 以降

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログで確認できます。

Microsoft Defender > ウイルス対策エンジン:

• アーカイブ ファイル内のスキャン
• ファイル ハッシュ計算を有効にする

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

macOS で使用できるデバイス アクションと新しい消去動作設定をワイプする

macOS デバイスの [消去] の代わりに [ デバイスのワイプ ] アクションを使用できるようになりました。 [ワイプ] アクションの一部として[Obliteration Behavior]\(Obliteration Behavior\) 設定を構成することもできます。

この新しいキーを使用すると、Apple シリコンまたは T2 セキュリティ チップを持つ Mac のワイプ フォールバック動作を制御できます。 この設定を見つけるには、[デバイス>By platform>macOS> [デバイスの選択] >Overview>Wipe に移動します。

Obliteration Behavior 設定の詳細については、Apple のプラットフォーム展開サイト「 Apple デバイスの消去 - Apple サポート」を参照してください。

適用対象:

• macOS

デバイスの登録

iOS/iPadOS 15 以降のデバイスで利用できるアカウント駆動型 Apple ユーザー登録 (パブリック プレビュー)

Intune では、iOS/iPadOS 15 以降のデバイスに対する Apple ユーザー登録の新しく改良されたバリエーションである、アカウント駆動型のユーザー登録がサポートされています。 パブリック プレビューで使用できるようになりました。この新しいオプションでは、Just-In-Time 登録が使用されるため、登録時にポータル サイト アプリが不要になります。 デバイス ユーザーは、設定アプリで直接登録を開始できるため、オンボード エクスペリエンスが短く効率的になります。 ポータル サイトを使用する既存のプロファイル ベースのユーザー登録方法を使用して、引き続き iOS/iPadOS デバイスをターゲットにすることができます。 iOS/iPadOS バージョン 14.8.1 以前を実行しているデバイスは、この更新プログラムの影響を受けず、既存のメソッドを引き続き使用できます。 詳細については、「 アカウント駆動型 Apple ユーザー登録の設定」を参照してください。

デバイスのセキュリティ

Microsoft 365 Office Apps の新しいセキュリティ ベースライン

M365 Office Apps のセキュリティ構成の管理に役立つ新しいセキュリティ ベースラインがリリースされました。 この新しいベースラインでは、Intune 設定カタログに表示される統合設定プラットフォームを使用する、更新されたテンプレートとエクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、 Microsoft 365 Apps for Enterprise ベースライン設定 (Office) で確認できます。

新しい Intune セキュリティ ベースライン形式は、Intune 設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune 管理センターでのベースラインのレポート エクスペリエンスも向上します。

Microsoft 365 Office Apps ベースラインは、Microsoft の Office およびセキュリティ チームのセキュリティに関する推奨事項を満たす構成を Office Apps に迅速に展開するのに役立ちます。 すべてのベースラインと同様に、既定のベースラインは推奨される構成を表します。 組織の要件を満たすように、既定のベースラインを変更できます。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Microsoft Edge バージョン 112 のセキュリティ ベースライン更新プログラム

Microsoft Edge バージョン 112 の Intune セキュリティ ベースラインの新しいバージョンをリリースしました。 新しいベースラインでは、Microsoft Edge 用のこの新しいバージョンのリリースに加えて、Intune 設定カタログに表示される統合設定プラットフォームを使用する更新されたテンプレート エクスペリエンスが使用されます。 新しいベースラインの設定の一覧は、 Microsoft Edge ベースライン設定 (バージョン 112 以降) で確認できます。

新しい Intune セキュリティ ベースライン形式は、Intune 設定カタログにある設定で使用できる設定の表示を調整します。 この配置は、競合が発生する可能性がある設定の名前と実装を設定するための過去の問題を解決するのに役立ちます。 新しい形式では、Intune 管理センターでのベースラインのレポート エクスペリエンスも向上します。

新しいベースライン バージョンが使用可能になったので、Microsoft Edge 用に作成するすべての新しいプロファイルで、新しいベースラインの形式とバージョンが使用されます。 新しいバージョンが既定のベースライン バージョンになりますが、以前のバージョンの Microsoft Edge 用に作成したプロファイルを引き続き使用できます。 ただし、古いバージョンの Microsoft Edge 用に新しいプロファイルを作成することはできません。

詳細については、「 セキュリティ ベースラインの概要」を参照してください。

適用対象:

• Windows 10
• Windows 11

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• アチーバーズ・バイ・アチーバーズ
• Board.Vision for iPad by Trusted Services PTE. 株式 会社。
• グローバルリレーコミュニケーションズ株式会社
• Incorta (BestBuy) by Incorta, Inc. (iOS)
• Island Enterprise Browser by Island (iOS)
• Klaxoon for Intune by Klaxoon (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2023 年 5 月 8 日の週

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) では、Dynabook デバイスがサポートされます

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して UEFI (BIOS) 設定を管理できます。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイスを選択します。

Windows 10/11 を実行している一部の Dynabook デバイスは、DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune の Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

ダウンロード サーバーを使用した Windows PC の eSIM 一括ライセンス認証が設定カタログで利用できるようになりました

設定カタログを使用して、Windows eSIM PC の大規模な構成を実行できるようになりました。 ダウンロード サーバー (SM-DP+) は、構成プロファイルを使用して構成されます。

デバイスが構成を受け取ると、eSIM プロファイルが自動的にダウンロードされます。 詳細については、「 ダウンロード サーバーの eSIM 構成」を参照してください。

適用対象:

• Windows 11
• eSIM 対応デバイス

2023 年 5 月 1 日の週

アプリ管理

macOS シェル スクリプトの最大実行時間制限

実行時間の長いシェル スクリプトを持つ Intune テナントがスクリプトの実行状態を報告しない問題を修正しました。 macOS Intune エージェントは、15 分を超える macOS シェル スクリプトを停止します。 これらのスクリプトは失敗と報告します。 新しい動作は、macOS Intune エージェント バージョン 2305.019 から適用されます。

macOS 用 DMG アプリのインストール

macOS 用 DMG アプリのインストール機能が一般公開されました。 Intune では、DMG アプリの 必要な 割り当てと アンインストール の割り当ての種類がサポートされています。 macOS 用 Intune エージェントは、DMG アプリの展開に使用されます。

ビジネスおよび教育機関向け Microsoft Store の廃止

Microsoft Store for Business コネクタは、 Microsoft Intune 管理センターでは使用できなくなりました。 ビジネス向け Microsoft Store または Microsoft Store for Education から追加されたアプリは、Intune と同期されません。 以前に同期されたアプリは引き続き使用でき、デバイスとユーザーに展開されます。

新しい Microsoft Store アプリの種類に移行するときに環境をクリーンアップできるように、Microsoft Intune 管理センターの [ アプリ ] ウィンドウから Microsoft Store for Business アプリを削除することもできます。

関連情報については、「 プランの変更: ビジネス向け Microsoft Store および Education アプリのサポート終了 」を参照してください。Microsoft Store for Business アプリが展開されなくなり、Microsoft Store for Business アプリが削除される予定です。

デバイス構成

リモート ヘルプで条件付きアクセス機能がサポートされるようになりました

管理者は、リモート ヘルプのポリシーと条件を設定するときに条件付きアクセス機能を利用できるようになりました。 たとえば、多要素認証、セキュリティ更新プログラムのインストール、特定のリージョンまたは IP アドレスのリモート ヘルプへのアクセスのロックなどです。

詳細については、以下を参照してください:

• 条件付きアクセス
• リモート ヘルプ

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーの Microsoft Defender の設定を更新しました

エンドポイント セキュリティ ウイルス対策ポリシーの Microsoft Defender ウイルス対策 プロファイルで使用可能な設定が更新されました。 このプロファイルは、Intune 管理センターの エンドポイント セキュリティ>Antivirus>Platform:Windows 10、Windows 11、および Windows Server>Profile:Microsoft Defender ウイルス対策にあります。

• 次の設定が追加されました。

  • 従量制課金接続の更新
  • Tls 解析を無効にする
  • Http 解析を無効にする
  • Dns 解析を無効にする
  • Dns over Tcp 解析を無効にする
  • Ssh 解析を無効にする
  • プラットフォーム更新プログラム チャネル
  • エンジンの更新チャネル
  • セキュリティ インテリジェンスの更新チャネル
  • ネットワーク保護のダウン レベルを許可する
  • Win Server でデータグラム処理を許可する
  • Dns シンクホールを有効にする

  これらの設定の詳細については、 Defender CSP に関するページを参照してください。 新しい設定は、Intune 設定カタログからも使用できます。

• 次の設定は非推奨になりました。

  • 侵入防止システムを許可する

  この設定が非推奨タグと共 に 表示されるようになりました。 この非推奨の設定が以前にデバイスに適用されていた場合、設定値は NotApplicable に更新され、デバイスには影響しません。 この設定がデバイスで構成されている場合、デバイスに影響はありません。

適用対象:

• Windows 10
• Windows 11

2023 年 4 月 17 日の週 (サービス リリース 2304)

アプリ管理

iOS/iPadOS および macOS デバイスでの iCloud アプリのバックアップと復元の動作の変更

アプリ設定として、[iOS/iPadOS および macOS デバイスの iCloud アプリバックアップを禁止 する] を選択できます。 iOS/iPadOS 上の管理対象 App Store アプリと基幹業務 (LOB) アプリと、macOS デバイス上のマネージド App Store アプリ (macOS LOB アプリはこの機能をサポートしていません) を、ユーザーとデバイスのライセンスを持つ VPP/非 VPP アプリの両方に対してバックアップ することはできません 。 この更新プログラムには、Intune に追加され、ユーザーとデバイスを対象とする VPP の有無に関係なく送信される新規および既存の App Store/LOB アプリの両方が含まれます。

指定したマネージド アプリのバックアップを防ぐと、デバイスが登録され、バックアップから復元されるときに、Intune 経由でこれらのアプリを適切に展開できるようになります。 管理者がテナント内の新規または既存のアプリに対してこの新しい設定を構成した場合、管理対象アプリはデバイス用に再インストールできます。 ただし、Intune ではバックアップできません。

この新しい設定は、アプリのプロパティを変更することで 、Microsoft Intune 管理センター に表示されます。 既存のアプリの場合は、アプリ>iOS/iPadOS または macOS を選択>アプリ>プロパティ>割り当ての編集を選択できます。 グループの割り当てが設定されていない場合は、[ グループの追加] を選択してグループを追加します。 [VPN]、[デバイスの削除時にアンインストール]、または [リムーバブルとしてインストール] のいずれかの設定を変更します。 次に、[ iCloud アプリのバックアップを禁止する] を選択します。 [ iCloud アプリのバックアップを禁止 する] 設定は、アプリケーションのアプリ データのバックアップを防ぐために使用されます。 [ いいえ] に設定すると、アプリを iCloud でバックアップできます。

詳細については、「iOS/iPadOS および macOS デバイスでのアプリケーションのバックアップと復元の動作の変更」および「Microsoft Intune を使用してアプリをグループに割り当てる」を参照してください。

Apple VPP アプリの自動更新を禁止する

Apple VPP の自動更新動作は、アプリごとの割り当てレベルで [ 自動更新の禁止 ] 設定を使用して制御できます。 この設定は、Microsoft Intune 管理センターで [アプリ>iOS/iPadOS または macOS] を選択>ボリューム購入プログラム アプリの選択>Properties>Assignments>Microsoft Entra グループ>App 設定を選択することで使用できます。

適用対象:

• iOS/iPadOS
• macOS

デバイス構成

macOS 設定カタログの更新

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定は、次の場所にあります。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネルのオーバーライドを更新する

次の設定は非推奨になりました。

Microsoft AutoUpdate (MAU) > [対象アプリ]:

• チャネル名 (非推奨)

プライバシー > プライバシー設定 ポリシー コントロール > サービス > リッスン イベントまたはスクリーン キャプチャ:

• 許可

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

Apple デバイス用の Microsoft Enterprise SSO プラグインが一般公開されました

Microsoft Intune には、Microsoft Enterprise SSO プラグインがあります。 このプラグインは、認証に Microsoft Entra ID を使用する iOS/iPadOS アプリと macOS アプリおよび Web サイトへのシングル サインオン (SSO) を提供します。

このプラグインは現在一般公開されています (GA)。

Intune で Apple デバイス用の Microsoft Enterprise SSO プラグインを構成する方法の詳細については、「 Microsoft Intune での Microsoft Enterprise SSO プラグイン」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

監視対象 macOS デバイスのアクティブ化ロック デバイス アクションを無効にする

Intune の アクティブ化ロック デバイスの無効化アクションを使用して、現在のユーザー名またはパスワードを必要とせずに Mac デバイスのライセンス認証ロックをバイパスできるようになりました。 この新しいアクションは、デバイス>By プラットフォーム>macOS で使用できます>一覧表示されているデバイスのいずれかを選択>アクティブ化ロックを無効にします。

アクティブ化ロックの管理の詳細については、「 iOS/iPadOS アクティベーション ロックを Intune でバイパス する」または Apple の Web サイトの「 iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」を参照してください。

適用対象:

• macOS 10.15 以降

ServiceNow 統合が一般公開されました (GA)

一般公開されたので、[Intune トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧を表示できます。 この新機能は、[トラブルシューティングとサポート] で使用できます>ServiceNow Incidents>ユーザーを選択します。 表示されるインシデントには、ソース インシデントへの直接リンクがあり、インシデントからの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

組織のメッセージの配信を制御する管理者をサポートするためのその他のアクセス許可

より多くのアクセス許可を持つ管理者は、組織のメッセージから作成および展開されたコンテンツの配信と、Microsoft からユーザーへのコンテンツの配信を制御できます。

組織のメッセージに対する組織のメッセージ制御 RBAC の更新アクセス許可によって、組織のメッセージトグルを変更して Microsoft ダイレクト メッセージを許可またはブロックできるユーザーが決まります。 このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。

組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「 Microsoft Intune を使用した RBAC」を参照してください。
• 組織のメッセージの前提条件の詳細については、「 組織のメッセージの前提条件」を参照してください。

デバイス管理

ICMP の種類に対するエンドポイント セキュリティ ファイアウォール規則のサポート

IcmpTypesAndCodes 設定を使用して、ファイアウォール規則の一部としてインターネット制御メッセージ プロトコル (ICMP) の受信規則と送信規則を構成できるようになりました。 この設定は、Windows 10、Windows 11、および Windows Server プラットフォームの Microsoft Defender ファイアウォール規則プロファイルで使用できます。

適用対象:

• Windows 11 以降

Intune ポリシーを使用して Windows LAPS を管理する (パブリック プレビュー)

パブリック プレビューで使用できるようになりました。Microsoft Intune アカウント保護ポリシーを使用して Windows ローカル管理者パスワード ソリューション (Windows LAPS) を管理します。 開始するには、 Windows LAPS の Intune サポートに関するページを参照してください。

Windows LAPS は、Microsoft Entra に参加しているデバイスまたは Windows Server Active Directory に参加しているデバイスのローカル管理者アカウントのパスワードを管理およびバックアップできる Windows 機能です。

LAPS を管理するために、Intune は Windows デバイスに組み込まれている Windows LAPS 構成サービス プロバイダー (CSP) を構成します。 GPO や Microsoft レガシ LAPS ツールなど、Windows LAPS 構成の他のソースよりも優先されます。 Intune が Windows LAPS を管理するときに使用できる機能には、次のようなものがあります。

• デバイス上のローカル管理者アカウントに適用される複雑さと長さなどのパスワード要件を定義します。
• ローカル管理者アカウントのパスワードをスケジュールに従ってローテーションするようにデバイスを構成します。 また、Microsoft Entra ID またはオンプレミス Active Directory のアカウントとパスワードをバックアップします。
• 管理センターの Intune デバイス アクションを使用して、自分のスケジュールでアカウントのパスワードを手動でローテーションします。
• アカウント名やパスワードなど、Intune 管理センター内からアカウントの詳細を表示します。 この情報は、アクセスできないデバイスを回復するのに役立ちます。
• Intune レポートを使用して、LAPS ポリシーを監視し、デバイスが最後にパスワードを手動またはスケジュールでローテーションした日時を監視します。

適用対象:

• Windows 10
• Windows 11

macOS ソフトウェア更新ポリシーで使用できる新しい設定

macOS ソフトウェア更新ポリシーには、デバイスに更新プログラムがインストールされるタイミングの管理に役立つ次の設定が含まれるようになりました。 これらの設定は、[ 他のすべての更新プログラムの更新プログラム の種類] が [後でインストール] に構成されている場合に使用できます。

• 最大ユーザー遅延: 他のすべての更新プログラム の更新の種類が 後でインストールするように構成されている場合、この設定では、ユーザーがマイナー OS 更新プログラムをインストールする前に延期できる最大回数を指定できます。 1 日に 1 回、ユーザーにメッセージが表示されます。 macOS 12 以降を実行しているデバイスで使用できます。

• 優先度: [他のすべての更新プログラムの更新の 種類] が [後でインストール] に構成されている場合、この設定を使用すると、マイナー OS 更新プログラムをダウンロードして準備するためのスケジュール設定の優先順位として Low または High の値を指定できます。 macOS 12.3 以降を実行しているデバイスで使用できます。

詳細については、「 Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

新しいパートナー ポータル ページの概要

パートナー ポータル ページから、HP または Surface デバイスでハードウェア固有の情報を管理できるようになりました。

HP リンクを使用すると、HP Connect に移動し、HP デバイスで BIOS を更新、構成、セキュリティで保護できます。 [Microsoft Surface] リンクをクリックすると、Surface 管理ポータルに移動し、デバイスのコンプライアンス、サポート アクティビティ、保証範囲に関する分析情報を取得できます。

[パートナー ポータル] ページにアクセスするには、[デバイス] ウィンドウプレビューを有効にし、[ デバイス>Partner ポータル] に移動する必要があります。

アプリとドライバーの Windows Update 互換性レポートが一般公開されました

Windows Update の互換性に関する次の Microsoft Intune レポートはプレビュー段階から外れ、現在一般公開されています。

• Windows 機能更新プログラムデバイスの準備レポート - このレポートは、選択したバージョンの Windows へのアップグレードまたは更新に関連付けられている互換性リスクに関するデバイスごとの情報を提供します。

• Windows 機能更新プログラムの互換性リスク レポート - このレポートでは、選択したバージョンの Windows に対する組織全体の上位互換性リスクの概要ビューが提供されます。 このレポートを使用すると、組織内で最も多くのデバイスに影響を与える互換性リスクを把握できます。

これらのレポートは、Windows 10 から 11 へのアップグレードを計画したり、最新の Windows 機能更新プログラムをインストールしたりするのに役立ちます。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理の一般公開

Microsoft Endpoint Privilege Management (EPM) が一般公開され、プレビューではなくなりました。

Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 これを行うには、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成します。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 デバイスがポリシーを受け取った後、EPM はユーザーに代わって昇格を仲介し、完全な管理者権限を必要とせずに承認済みアプリケーションを昇格できるようにします。 EPM には、組み込みの分析情報とレポートも含まれています。

EPM がプレビューから外れているので、別のライセンスを使用する必要があります。 EPM のみを追加するスタンドアロン ライセンスと、Microsoft Intune Suite の一部としてライセンス EPM のどちらかを選択できます。 詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

エンドポイント特権管理が一般公開されましたが、 EPM のレポート はプレビュー段階の機能に移行され、 プレビューから削除される前にさらに機能強化が行われます。

Intune ファイアウォール規則ポリシーを使用した WDAC アプリケーション ID のタグ付けのサポート

エンドポイント セキュリティ ファイアウォール ポリシーの一部として使用できる Intune の Microsoft Defender ファイアウォール規則プロファイルに、ポリシー アプリ ID 設定が含まれるようになりました。 この設定は 、MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP で説明されており、Windows Defender アプリケーション制御 (WDAC) アプリケーション ID タグの指定をサポートしています。

この機能を使用すると、ファイアウォール規則をアプリケーションまたはアプリケーションのグループにスコープを設定し、WDAC ポリシーに依存してこれらのアプリケーションを定義できます。 タグを使用して WDAC ポリシーにリンクしたり、WDAC ポリシーに依存したりすることで、ファイアウォール規則ポリシーは、絶対ファイル パスのファイアウォール規則オプションや、規則のセキュリティを低下させる可変ファイル パスの使用に依存する必要はありません。

この機能を使用するには、Intune Microsoft Defender ファイアウォール規則で指定できる AppId タグを含む WDAC ポリシーを用意する必要があります。

詳細については、Windows Defender アプリケーションコントロールのドキュメントの次の記事を参照してください。

• Windows のアプリケーション制御について
• WDAC アプリケーション ID (AppId) タグ付けガイド

適用対象:

• Windows 10 または 11

Intune のエンドポイント セキュリティ攻撃面縮小ポリシーの新しいアプリとブラウザーの分離プロファイル

エンドポイント セキュリティの攻撃面の削減ポリシー用の新しい アプリとブラウザーの分離 プロファイルを作成する新しいエクスペリエンスをリリースしました。 以前に作成したアプリとブラウザーの分離ポリシーを編集するエクスペリエンスは変わらず、引き続き使用できます。 この更新プログラムは、Windows 10 以降のプラットフォーム用に作成した新しいアプリとブラウザーの分離ポリシーにのみ適用されます。

この更新プログラムは、2022 年 4 月に開始されたエンドポイント セキュリティ ポリシーの新しいプロファイルの継続的なロールアウトの一部です。

さらに、新しいプロファイルには、含まれる設定に対して次の変更が含まれます。

• 非エンタープライズ承認済みサイトからの外部コンテンツのブロック - この設定は、Microsoft Edge レガシでのみサポートされていたため、更新されたプロファイルから削除されます。 Microsoft Edge レガシ サポートは 2021 年 3 月に終了しました。 Microsoft 365 アプリは、Internet Explorer 11 と Windows 10 の夕暮れ Microsoft Edge レガシ - Microsoft Community Hub に別れを告げます。

• クリップボード ファイルの種類 – この設定は更新されたプロファイルに追加され、ホストから Application Guard 環境にコピーできるコンテンツの種類を決定します。その逆も同様です。 この新しい設定の CSP は、WindowsDefenderApplicationGuard CSP ドキュメントの Settings/ClipboardFileType で確認できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• ixArma by INAX-APPS (iOS)
• myBLDNG by Bldng.ai (iOS)
• RICOH Spaces V2 by Ricoh Digital Services
• Firstup - Intune by Firstup, Inc. (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

役割ベースのアクセス制御

組織のメッセージに対する新しい割り当て (RBAC) アクセス許可

[組織のメッセージに RBAC アクセス許可を 割り当てる ] によって、ターゲット Microsoft Entra グループを組織のメッセージに割り当てることができるユーザーが決まります。 RBAC のアクセス許可にアクセスするには、 Microsoft Intune 管理センター にサインインし、[ テナント管理>Roles] に移動します。

このアクセス許可は、 組織メッセージ マネージャー の組み込みロールにも追加されます。 組織メッセージを管理するための既存のカスタム ロールは、ユーザーがこの設定を変更するためにこのアクセス許可を追加するように変更する必要があります。

• ロールベースのアクセス制御 (RBAC) の詳細については、「 Microsoft Intune を使用した RBAC」を参照してください。
• 組織のメッセージの前提条件の詳細については、「 組織のメッセージの前提条件」を参照してください。

テナント管理

組織のメッセージを削除する

Microsoft Intune から組織のメッセージを削除できるようになりました。 メッセージを削除すると、Intune から削除され、管理センターに表示されなくなります。 メッセージの状態に関係なく、いつでもメッセージを削除できます。 Intune は、アクティブなメッセージを削除した後に自動的に取り消します。 詳細については、「 組織のメッセージを削除する」を参照してください。

組織のメッセージの監査ログを確認する

監査ログを使用して、Microsoft Intune で組織のメッセージ イベントを追跡および監視します。 ログにアクセスするには、 Microsoft Intune 管理センター にサインインし、[ テナント管理>Audit ログ] に移動します。 詳細については、「 Intune アクティビティの監査ログ」を参照してください。

2023 年 4 月 10 日の週

デバイス構成

Windows 10 マルチセッション VM のユーザー構成のサポートが GA になりました

今後は次のことができるようになりました。

• [設定カタログ] を使用してユーザー スコープ ポリシーを構成し、ユーザーのグループに割り当てます。
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 10
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2023 年 4 月 3 日の週

デバイス構成

仕事用プロファイルを使用して Android Enterprise 個人所有のデバイスに Google アカウントを追加する

仕事用プロファイルを持つ個人所有の Android Enterprise デバイスでは、デバイスの機能と設定を制限する設定を構成できます。 現在、[ アカウントの追加と削除] 設定があります 。 この設定により、Google アカウントの禁止など、アカウントが仕事用プロファイルに追加されなくなります。

この設定が変更されました。 Google アカウントを追加できるようになりました。 [ アカウントの追加と削除 ] 設定オプションは次のとおりです。

• [すべてのアカウントの種類をブロックする]: ユーザーが作業プロファイルでアカウントを手動で追加または削除できないようにします。 たとえば、Gmail アプリを仕事用プロファイルに展開すると、ユーザーがこの仕事用プロファイルでアカウントを追加または削除できないようにすることができます。

• [すべてのアカウントの種類を許可する]: Google アカウントを含むすべてのアカウントを許可します。 これらの Google アカウントは、 マネージド Google Play ストアからのアプリのインストールがブロックされます。

  この設定には、次のものが必要です。

  • Google Play アプリのバージョン 80970100 以上

• Google アカウント (既定値) を除くすべてのアカウントの種類を許可する: Intune はこの設定を変更または更新しません。 既定では、OS では、仕事用プロファイルへのアカウントの追加が許可される場合があります。

構成できる設定の詳細については、「 Android Enterprise デバイス設定の一覧」を参照して、Intune を使用して個人所有のデバイスの機能を許可または制限します。

適用対象:

• 仕事用プロファイルがある個人所有の Android Enterprise デバイス

2023 年 3 月 27 日の週

アプリ管理

macOS DMG アプリを更新する

Intune を使用して展開された macOS アプリ (DMG) の種類のアプリを更新できるようになりました。 Intune で既に作成されている DMG アプリを編集するには、元の DMG アプリと同じバンドル識別子を使用してアプリの更新プログラムをアップロードします。 関連情報については、「macOS DMG アプリを Microsoft Intune に追加する」を参照してください。

事前プロビジョニング中に必要なアプリをインストールする

新しいトグルは、登録状態ページ (ESP) プロファイルで使用できます。これにより、Windows Autopilot の事前プロビジョニング技術者フェーズで必要なアプリケーションのインストールを試みるかどうかを選択できます。 エンド ユーザーのセットアップ時間を短縮するために、事前プロビジョニング中にできるだけ多くのアプリケーションをインストールすることが望ましいことを理解しています。 アプリのインストールエラーが発生した場合、ESP プロファイルで指定されたアプリを除き、ESP は続行されます。 この機能を有効にするには、新しい設定の [技術者フェーズで選択したアプリのみを失敗させる] で [はい] を選択して、登録状態ページプロファイルを編集する必要があります。 この設定は、ブロックしているアプリが選択されている場合にのみ表示されます。 ESP の詳細については、「 登録状態の設定」ページを参照してください。

2023 年 3 月 20 日の週 (サービス リリース 2303)

アプリ管理

Win32 アプリの最小 OS バージョン

Intune では、Win32 アプリをインストールするときに、Windows 10 と 11 のオペレーティング システムの最小バージョンがサポートされます。 Microsoft Intune 管理センターで、[アプリ>Windows>Add>Windows app (Win32) を選択します。 [最小オペレーティング システム] の横にある [要件] タブで、使用可能なオペレーティング システムのいずれかを選択します。 その他の OS オプションは次のとおりです。

• Windows 10 21H2
• Windows 10 22H2
• Windows 11 21H2
• Windows 11 22H2

VPP アプリを管理するためにマネージド アプリのアクセス許可が不要になりました

モバイル アプリのアクセス許可のみが割り当てられている VPP アプリを表示および管理できます。 以前は、VPP アプリを表示および管理するには、 マネージド アプリのアクセス許可が必要でした。 この変更は、 管理対象アプリ のアクセス許可を割り当てる必要がある Education テナントの Intune には適用されません。 Intune のアクセス許可の詳細については、「 カスタム ロールのアクセス許可」を参照してください。

デバイス構成

macOS 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

Microsoft Defender > 改ざん防止:

• 実施レベル

Microsoft Office > Microsoft OneDrive:

• 自動アップロード帯域幅の割合
• フォルダー バックアップ機能 (既知のフォルダー移動とも呼ばれます) を自動的かつサイレントで有効にする
• アプリがオンライン限定のファイルをダウンロードしないようにします
• 外部同期をブロックする
• 自動サインインを無効にする
• ダウンロード トーストを無効にする
• 個人用アカウントを無効にする
• チュートリアルを無効にする
• フォルダーがリダイレクトされたら、ユーザーに通知を表示する
• ファイル オンデマンドを有効にする
• Office アプリの同時編集を有効にする
• ユーザーにフォルダー バックアップ機能 (既知のフォルダー移動) の使用を強制する
• ドック アイコンを非表示にする
• 名前付きファイルを無視する
• フォルダー バックアップに ~/Desktop を含める (既知のフォルダー移動とも呼ばれます)
• フォルダー バックアップに ~/ドキュメントを含める (既知のフォルダー移動とも呼ばれます)
• ログイン時に開く
• ユーザーがフォルダー バックアップ機能 (既知のフォルダー移動) を使用できないようにする
• フォルダー バックアップ機能 (既知のフォルダー移動) を有効にするようにユーザーに求める
• 最大ダウンロード スループットを設定する
• 最大アップロード スループットを設定する
• SharePoint の優先順位付け
• SharePoint Server フロント ドア URL
• SharePoint Server テナント名

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

Linux デバイスを構成するためのカスタム Bash スクリプトを追加する

Intune では、既存の Bash スクリプトを追加して Linux デバイス (デバイス>By プラットフォーム>Linux>Scripts) を構成できます。

このスクリプト ポリシーを作成するときに、スクリプトが実行されるコンテキスト (ユーザーまたはルート)、スクリプトの実行頻度、および実行を再試行する回数を設定できます。

この機能の詳細については、「 カスタム Bash スクリプトを使用して Microsoft Intune で Linux デバイスを構成する」を参照してください。

適用対象:

• Linux Ubuntu Desktops

デバイスの登録

iOS/iPadOS 自動デバイス登録の待機最終構成設定のサポート (パブリック プレビュー)

パブリック プレビューでは、Intune は、対象となる新規および既存の iOS/iPadOS 自動デバイス登録プロファイルで Await final configuration という新しい設定をサポートしています。 この設定により、セットアップ アシスタントですぐにロックされたエクスペリエンスが有効になります。 これにより、ほとんどの Intune デバイス構成ポリシーがインストールされるまで、デバイス ユーザーが制限付きコンテンツにアクセスしたり、デバイスの設定を変更したりできなくなります。 設定は、既存の自動デバイス登録プロファイルまたは新しいプロファイル (Devices>By platform>iOS/iPadOS>Device onboarding>Enrollment>Enrollment プログラム トークン>プロファイルの作成) で構成できます。 詳細については、「 Apple 登録プロファイルを作成する」を参照してください。

新しい設定により、Intune 管理者はデバイスからカテゴリへのマッピングを制御できます

Intune ポータル サイトでデバイス カテゴリ プロンプトの可視性を制御します。 エンド ユーザーからプロンプトを非表示にし、デバイスからカテゴリへのマッピングを Intune 管理者に任せることができるようになりました。 新しい設定は、管理センターの [テナント管理>Customization>Device Categories] で使用できます。 詳細については、「 デバイス カテゴリ」を参照してください。

フル マネージド デバイスの複数の登録プロファイルとトークンのサポート

Android Enterprise フル マネージド デバイスの複数の登録プロファイルとトークンを作成および管理します。 この新機能により、 EnrollmentProfileName 動的デバイス プロパティを使用して、フル マネージド デバイスに登録プロファイルを自動的に割り当てることができます。 テナントに付属する登録トークンは、既定のプロファイルに残ります。 詳細については、「 Android Enterprise フル マネージド デバイスの Intune 登録を設定する」を参照してください。

iPad 用の新しい Microsoft Entra 現場担当者エクスペリエンス (パブリック プレビュー)

この機能は、4 月中旬にテナントへのロールアウトを開始します。

Intune では、Apple の自動デバイス登録を使用した iPhone と iPad の現場担当者エクスペリエンスがサポートされるようになりました。 Microsoft Entra ID 共有モードで有効になっているデバイスをゼロタッチで登録できるようになりました。 共有デバイス モードの自動デバイス登録を構成する方法の詳細については、「 Microsoft Entra 共有デバイス モードでデバイスの登録を設定する」を参照してください。

適用対象:

• iOS/iPadOS

デバイス管理

ログ構成に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

ファイアウォール ログ オプションを構成する エンドポイント セキュリティ ファイアウォール ポリシー で設定を構成できるようになりました。 これらの設定は、Windows 10 以降のプラットフォームの Microsoft Defender Firewall プロファイル テンプレートにあり、そのテンプレートのドメイン、プライベート、およびパブリック プロファイルで使用できます。

ファイアウォール構成サービス プロバイダー (CSP) で見つかった新しい設定を次に示します。

• ログの成功接続を有効にする
• ログ ファイル のパス
• ログドロップされたパケットを有効にする
• ログ無視ルールを有効にする

適用対象:

• Windows 11

モバイル ブロードバンド (MBB) のエンドポイント セキュリティ ファイアウォール規則のサポート

エンドポイント セキュリティ ファイアウォール ポリシーの [インターフェイスの種類] 設定に、Mobile ブロードバンドのオプションが含まれるようになりました。 インターフェイスの種類は、Windows をサポートするすべてのプラットフォームの Microsoft Defender ファイアウォール規則 プロファイルで使用できます。 この設定とオプションの使用については、「 ファイアウォール構成サービス プロバイダー (CSP)」を参照してください。

適用対象:

• Windows 10
• Windows 11

ネットワーク リスト マネージャー設定に対するエンドポイント セキュリティ ファイアウォール ポリシーのサポート

エンドポイント セキュリティ ファイアウォール ポリシーにネットワーク リスト マネージャー設定のペアを追加しました。 Microsoft Entra デバイスがオンプレミスのドメイン サブネット上にあるか、そうでないかを判断するために、ネットワーク リスト マネージャーの設定を使用できます。 この情報は、ファイアウォール規則が正しく適用されるのに役立ちます。

次の設定は、Windows 10、Windows 11、および Windows Server プラットフォームの Microsoft Defender Firewall プロファイル テンプレートで使用できるネットワーク リスト マネージャーという名前の新しいカテゴリにあります。

• 許可される Tls 認証エンドポイント
• 構成された Tls 認証ネットワーク名

ネットワーク分類設定の詳細については、「 NetworkListManager CSP」を参照してください。

適用対象:

• Windows 10
• Windows 11

管理センターの [デバイス] 領域の機能強化 (パブリック プレビュー)

管理センターの [デバイス] 領域に一貫性のある UI が追加され、より機能の高いコントロールとナビゲーション構造が改善され、必要な情報をより迅速に見つけることができます。 パブリック プレビューにオプトインして新しいエクスペリエンスを試すには、[ デバイス] に移動し、ページの上部にあるトグルを反転します。 改善点は次のとおり：

• シナリオに焦点を当てた新しいナビゲーション構造。
• より一貫性のあるナビゲーション モデルを作成するためのプラットフォーム ピボットの新しい場所。
• 旅を減らすことで、目的地へのアクセスを迅速に行うことができます。
• 監視とレポートは管理ワークフロー内にあり、ワークフローから離れることなく主要なメトリックとレポートに簡単にアクセスできます。
• リスト ビュー間で一貫した方法で、データを検索、並べ替え、フィルター処理できます。

更新された UI の詳細については、「 Microsoft Intune で新しいデバイス エクスペリエンスを試す」を参照してください。

デバイスのセキュリティ

Microsoft Intune エンドポイント特権管理 (パブリック プレビュー)

パブリック プレビューとして、Microsoft Intune エンドポイント特権管理を使用できるようになりました。 Endpoint Privilege Management を使用すると、管理者は、標準ユーザーが通常管理者用に予約されたタスクを実行できるようにするポリシーを設定できます。 エンドポイント特権管理は、 Intune 管理センター の エンドポイント セキュリティ>Endpoint Privilege Management で構成できます。

パブリック プレビューでは、選択したアプリまたはプロセスの実行時アクセス許可を昇格させる 自動 ワークフローと ユーザー確認 ワークフローのポリシーを構成できます。 次に、管理者特権なしでエンド ユーザーが実行されているユーザーまたはデバイスにこれらのポリシーを割り当てます。 ポリシーを受け取ると、Endpoint Privilege Management はユーザーに代わって昇格を仲介し、完全な管理者特権を必要とせずに承認されたアプリケーションを昇格できるようにします。 プレビューには、Endpoint Privilege Management の組み込みの分析情報とレポートも含まれています。

パブリック プレビューをアクティブ化し、エンドポイント特権管理ポリシーを使用する方法については、「 Microsoft Intune でエンドポイント特権管理を使用する」を参照してください。 エンドポイント特権管理は Intune Suite オファリングの一部であり、パブリック プレビューのまま無料で試すことができます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• EVALARM by GroupKom GmbH (iOS)
• ixArma by INAX-APPS (Android)
• 地震 |Intune by Seismic Software, Inc.
• Microsoft Viva Engage by Microsoft (正式には Microsoft Yammer)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Endpoint Privilege Management の診断データ収集

エンドポイント特権管理のリリースをサポートするために、 Windows デバイスからの診断の収集 を更新し、エンドポイント特権管理が有効になっているデバイスから収集される次のデータを含めます。

• レジストリ キー:

  • HKLM\SOFTWARE\Microsoft\EPMAgent

• コマンド:

  • %windir%\system32\pnputil.exe /enum-drivers

• ログ ファイル:

  • %ProgramFiles%\Microsoft EPM Agent\Logs\*.*
  • %windir%\system32\config\systemprofile\AppData\Local\mdm\*.log

保留中および失敗した組織のメッセージの状態を表示する

管理センターで保留中のメッセージと失敗したメッセージを簡単に追跡できるように、組織のメッセージ レポートの詳細にさらに 2 つの状態を追加しました。

• 保留中: メッセージはまだスケジュールされておらず、現在進行中です。
• 失敗: サービス エラーが原因でメッセージのスケジュールが失敗しました。

レポートの詳細については、「 組織のメッセージのレポートの詳細を表示する」を参照してください。

テナント接続デバイスに関連するその他のレポート情報

エンドポイント セキュリティ ワークロードの下にある既存のウイルス対策レポートで、テナント接続デバイスの情報を表示できるようになりました。 新しい列では、Intune によって管理されるデバイスと Configuration Manager によって管理されるデバイスが区別されます。 このレポート情報は、 Microsoft Intune 管理センター で [ エンドポイント セキュリティ>Antivirus] を選択することで入手できます。

2023 年 3 月 13 日の週

デバイス管理

Meta Quest 2 と Quest Pro が、Android オープン ソース デバイス用の Microsoft Intune でオープン ベータ (米国のみ) に移行されました

Android 用の Microsoft Intune オープン ソース プロジェクト デバイス (AOSP) は、Meta Quest 2 と Quest Pro を米国市場向けのオープン ベータ版に迎えています。

詳細については、Microsoft Intune でサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

アプリ管理

Android 用 Intune App SDK の信頼されたルート証明書管理

Android アプリケーションで、内部 Web サイトやアプリケーションへの安全なアクセスを提供するために、オンプレミスまたはプライベート証明機関によって発行された SSL/TLS 証明書が必要な場合、Android 用 Intune App SDK で証明書の信頼管理がサポートされるようになりました。 詳細と例については、「 信頼されたルート証明書の管理」を参照してください。

UWP アプリのシステム コンテキストのサポート

ユーザー コンテキストに加えて、システム コンテキストで Microsoft Store アプリ (新規 ) からユニバーサル Windows プラットフォーム (UWP) アプリを展開できます。 プロビジョニングされた .appx アプリがシステム コンテキストでデプロイされている場合、ログインするユーザーごとにアプリが自動インストールされます。 個々のエンド ユーザーがユーザー コンテキスト アプリをアンインストールした場合、アプリは引き続きプロビジョニングされているため、インストール済みとして表示されます。 さらに、デバイス上のユーザーにアプリをまだインストールしないでください。 一般的な推奨事項は、アプリのデプロイ時にインストール コンテキストを混在しないようにすることです。 Microsoft Store アプリ (新規) の Win32 アプリは、既にシステム コンテキストをサポートしています。

2023 年 3 月 6 日の週

アプリ管理

Win32 アプリをデバイス グループに展開する

使用可能な意図を持つ Win32 アプリをデバイス グループに展開できるようになりました。 詳細については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

デバイス管理

Microsoft Intune 管理センターの新しい URL

Microsoft Intune 管理センターには、 https://intune.microsoft.comという新しい URL があります。 以前に使用した URL ( https://endpoint.microsoft.com) は引き続き機能しますが、2023 年後半に新しい URL にリダイレクトされます。 Intune アクセスと自動スクリプトに関する問題を回避するには、次のアクションを実行することをお勧めします。

• ログインまたは自動化を更新して、 https://intune.microsoft.comをポイントします。
• 必要に応じてファイアウォールを更新して、新しい URL へのアクセスを許可します。
• お気に入りとブックマークに新しい URL を追加します。
• ヘルプデスクに通知し、IT 管理者のドキュメントを更新します。

テナント管理

CMPivot クエリを Favorites フォルダーに追加する

よく使用するクエリを CMPivot の [お気に入り ] フォルダーに追加できます。 CMPivot を使用すると、テナントアタッチを使用して Configuration Manager によって管理されるデバイスの状態をすばやく評価し、アクションを実行できます。 この機能は、Configuration Manager コンソールに既に存在する機能と似ています。 この追加は、最も使用されているすべてのクエリを 1 か所に保持するのに役立ちます。 クエリにタグを追加して、クエリの検索と検索に役立てることもできます。 Configuration Manager コンソールに保存されたクエリは、 お気に入り フォルダーに自動的に追加されません。 新しいクエリを作成し、このフォルダーに追加する必要があります。 CMPivot の詳細については、「 テナントアタッチ: CMPivot の使用状況の概要」を参照してください。

デバイスの登録

登録状態ページで新しい Microsoft Store アプリがサポートされるようになりました

登録状態ページ (ESP) では、Windows Autopilot 中に新しい Microsoft ストア アプリケーションがサポートされるようになりました。 この更新プログラムにより、新しい Microsoft Store エクスペリエンスのサポートが向上し、Intune 2303 以降のすべてのテナントにロールアウトする必要があります。 関連情報については、「 登録の状態ページを設定する」を参照してください。

2023 年 2 月 27 日の週

デバイス構成

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスでのデバイスの検索のサポート

Android Enterprise 企業所有のフル マネージドおよび Android Enterprise 企業所有の仕事用プロファイル デバイスで "デバイスの検索" を使用できるようになりました。 この機能を使用すると、管理者は必要に応じて紛失または盗難にあった企業デバイスを見つけることができます。

Microsoft Intune 管理センターでは、デバイス構成プロファイル (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >Device Restrictions for profile type) を使用して機能をオンにする必要があります。

フル マネージドおよび企業所有の仕事用プロファイル デバイスの [デバイスの検索] トグルで [許可] を選択し、該当するグループを選択します。 [デバイス] を選択し、[すべてのデバイス] を選択すると、デバイスを見つけることができます。 管理するデバイスの一覧から、サポートされているデバイスを選択し、[デバイスの リモートの検索 ] アクションを選択します。

Intune で紛失または盗難にあったデバイスの特定については、次のページを参照してください。

• 紛失したまたは盗まれた デバイスを Intune で検索する

適用対象:

• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Intune アドオン

Microsoft Intune Suite は、ミッション クリティカルな高度なエンドポイント管理とセキュリティ機能を Microsoft Intune に提供します。

Intune のアドオンは、 Microsoft Intune 管理センター の テナント管理>Intune アドオンにあります。

詳細については、「 Intune Suite アドオン機能を使用する」を参照してください。

Intune トラブルシューティング ワークスペースで ServiceNow インシデントを表示する (プレビュー)

パブリック プレビューでは、[Intune トラブルシューティング] ワークスペースで選択したユーザーに関連付けられている ServiceNow インシデントの一覧を表示できます。 この新機能は、[トラブルシューティングとサポート] で使用できます>ServiceNow Incidents>ユーザーを選択します。 表示されるインシデントの一覧には、ソース インシデントへの直接リンクが表示され、インシデントの重要な情報が表示されます。 一覧表示されているすべてのインシデントは、インシデントで識別された "発信者" を、トラブルシューティング用に選択されたユーザーとリンクします。

詳細については、「 トラブルシューティング ポータルを使用して会社のユーザーを支援する」を参照してください。

デバイスのセキュリティ

MICROSOFT Tunnel for MAM が一般公開されました

プレビューが提供され、一般公開されなくなっているので、 Microsoft Tunnel for Mobile Application Management をテナントに追加できます。 MAM 用トンネルでは、登録されていない Android デバイスと iOS デバイスからの接続がサポートされています。 このソリューションは、モバイル デバイスがセキュリティ ポリシーに従いながら企業リソースにアクセスできるようにする軽量 VPN ソリューションをテナントに提供します。

さらに、iOS 用 MAM Tunnel で Microsoft Edge がサポートされるようになりました。

以前は、Android および iOS 用の MAM 用 Tunnel はパブリック プレビュー段階にあり、無料で使用されていました。 一般公開されているこのリリースでは、このソリューションで使用するためにアドオン ライセンスが必要になりました。

ライセンスの詳細については、「 Intune アドオン」を参照してください。

適用対象:

• Android
• iOS

テナント管理

組織のメッセージでカスタム宛先 URL がサポートされるようになりました

タスク バー、通知領域、および作業開始アプリで、組織のメッセージに任意のカスタム宛先 URL を追加できるようになりました。 この機能は Windows 11 に適用されます。 スケジュールされた状態またはアクティブな状態の Microsoft Entra 登録済みドメインで作成されたメッセージは引き続きサポートされます。 詳細については、「 組織のメッセージを作成する」を参照してください。

2023 年 2 月 20 日の週 (サービス リリース 2302)

アプリ管理

LOB およびストア アプリの最小 OS 要件として利用可能な最新の iOS/iPadOS バージョン

基幹業務およびストア アプリの展開の最小オペレーティング システムとして iOS/iPadOS 16.0 を指定できます。 この設定オプションは、 Microsoft Intune 管理センター で [ アプリ>iOS/iPadOS>iOS ストア アプリまたは基幹業務アプリ] を選択して使用できます。 アプリの管理の詳細については、「 Microsoft Intune にアプリを追加する」を参照してください。

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Egnyte for Intune by Egnyte

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

エンドポイント マネージャー管理センターの名前が Intune 管理センターに変更されました

Microsoft エンドポイント マネージャー管理センターは、 Microsoft Intune 管理センターと呼ばれるようになりました。

フィルターの新しい [関連付けられた割り当て] タブ

アプリまたはポリシーを割り当てると、デバイスの製造元、モデル、所有権など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。 フィルターを作成して割り当てに関連付けることができます。

フィルターを作成すると、新しい [ 関連付けられた割り当て] タブが表示されます。このタブには、すべてのポリシーの割り当て、フィルター割り当てを受け取るグループ、フィルターで Exclude または Include が使用されている場合が 表示されます。

1. Microsoft Intune 管理センターにサインインします。
2. [デバイス>Organize devices>Filters> [関連付けられている割り当て] タブ>既存のフィルターを選択します。

フィルターの詳細については、次のページを参照してください。

• Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intune でフィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集

iOS/iPadOS モデル情報に含まれるサイズと生成

「ハードウェア デバイスの詳細」の Model 属性の一部として、登録済みの iOS/iPadOS デバイスのサイズと世代を表示できます。

[デバイス] > [すべてのデバイス] に移動し>一覧表示されているデバイスのいずれかを選択し、[ハードウェア] を選択して詳細を開きます。 たとえば、iPad Pro 3 の代わりに、デバイス モデルの iPad Pro 11 インチ (第 3 世代) が表示されます。 詳細については、「Intune でデバイスの詳細を表示する」を参照してください。

適用対象:

• iOS/iPadOS

監視対象の iOS/iPadOS デバイスのアクティブ化ロック デバイス アクションを無効にする

Intune の [アクティブ化ロック デバイスの無効化] アクションを使用すると、現在のユーザー名またはパスワードを必要とせずに、iOS/iPadOS デバイスのアクティブ化ロックをバイパスできます。

この新しいアクションは、[デバイス > iOS/iPadOS] で使用>、一覧に表示されているデバイスのいずれかを選択>アクティブ化ロックを無効にします。

アクティブ化ロックの管理の詳細については、「iOS/iPadOS アクティベーション ロックを Intune でバイパスする」または Apple の Web サイトの「iPhone、iPad、iPod touch のアクティベーション ロック - Apple サポート」を参照してください。

適用対象:

• iOS/iPadOS

[設定カタログ] で [一時的なエンタープライズ機能制御を許可する] を使用できます

オンプレミスのグループ ポリシーには、 サービスによって導入された機能を有効にする機能が既定でオフ になっています。

Intune では、この設定は [一時的なエンタープライズ機能制御を許可する] と呼ばれ、設定カタログで使用できます。 このサービスにより、既定でオフになっている機能が追加されます。 [許可] に設定すると、これらの機能が有効になり、オンになります。

この機能の詳細については、次のページを参照してください。

• AllowTemporaryEnterpriseFeatureControl ポリシー CSP
• ブログ: 継続的イノベーションのための商業管理

このポリシー設定で有効になっている Windows 機能は、2023 年後半にリリースする必要があります。 Intune では、今後の Windows 11 リリースで設定を使用する必要がある前に、認識と準備のために、このポリシー設定をリリースしています。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 11

デバイス管理

プリンター保護のデバイス制御のサポート (プレビュー)

パブリック プレビューでは、Attack Surface Reduction ポリシーのデバイス制御プロファイルで 、プリンター保護の再利用可能な設定グループがサポートされるようになりました。

Microsoft Defender for Endpoint Device Control Printer Protection を使用すると、Intune 内で除外の有無にかかわらず、プリンターを監査、許可、または禁止できます。 これにより、企業以外のネットワーク プリンターまたは承認されていない USB プリンターを使用して、ユーザーの印刷をブロックできます。 この機能により、自宅やリモートの作業シナリオで作業するためのセキュリティとデータ保護の別のレイヤーが追加されます。

適用対象:

• Windows 10
• Windows 11

Microsoft Defender for Endpoint のセキュリティ管理を使用して管理されている古いデバイスを削除するサポート

Microsoft Intune 管理センター内から、Microsoft Defender for Endpoint ソリューションのセキュリティ管理を使用して管理されているデバイスを削除できるようになりました。 デバイスの [概要] の詳細を表示すると、削除オプションが他のデバイス管理オプションと共に表示されます。 このソリューションによって管理されるデバイスを見つけるには、管理センターで [デバイス>すべてのデバイス] に移動し、[管理対象] 列に MDEJoined または MDEManaged を表示するデバイスを選択します。

Apple 設定カタログで使用できる新しい設定と設定オプション

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

ログイン > サービス管理 - マネージド ログイン 項目:

• Team 識別子

Microsoft Office > Microsoft Office:

• Office ライセンス認証メール アドレス

適用対象:

• macOS

ネットワーク > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• iOS/iPadOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

デバイスのセキュリティ

エンドポイント セキュリティウイルス対策ポリシーを使用して Microsoft Defender の更新動作を管理する (プレビュー)

エンドポイント セキュリティ ウイルス対策ポリシーのパブリック プレビューの一環として、Windows 10 以降のプラットフォームの新しいプロファイル Defender Update コントロールを使用して、Microsoft Defender の更新設定を管理できます。 新しいプロファイルには、ロールアウト リリース チャネルの設定が含まれています。 ロールアウト チャネルでは、デバイスとユーザーは、毎日のセキュリティ インテリジェンス更新プログラム、毎月のプラットフォーム更新プログラム、月単位のエンジン更新プログラムに関連する Defender 更新プログラムを受け取ります。

このプロファイルには、 Defender CSP - Windows クライアント管理から直接取得される次の設定が含まれています。

• エンジンの更新チャネル
• プラットフォーム更新プログラム チャネル
• セキュリティ インテリジェンスの更新チャネル

これらの設定は、Windows 10 以降のプロファイルの設定カタログからも使用できます。

適用対象:

• Windows 10
• Windows 11

2023 年 2 月 6 日の週

テナント管理

Configuration Manager サイトの正常性とデバイス管理エクスペリエンスを強化するために推奨事項と分析情報を適用する

これで、Microsoft Intune 管理センターを使用して、Configuration Manager サイトの推奨事項と分析情報を表示できるようになりました。 これらの推奨事項は、サイトの正常性とインフラストラクチャを改善し、デバイス管理エクスペリエンスを強化するのに役立ちます。

推奨事項は次のとおりです。

• インフラストラクチャを簡素化する方法
• デバイス管理を強化する
• デバイスの分析情報を提供する
• サイトの正常性を向上させる

推奨事項を表示するには、 Microsoft Intune 管理センター を開き、 テナント管理>Connectors とトークン>Microsoft Endpoint Configuration Manager に移動し、サイトを選択してその サイト の推奨事項を表示します。 選択すると、[ 推奨事項 ] タブに各分析情報と [詳細情報 ] リンクが表示されます。 このリンクは、その推奨事項を適用する方法の詳細を開きます。

詳細については、「 Microsoft Intune テナントアタッチの有効化 - Configuration Manager」を参照してください。

2023 年 1 月 30 日の週

デバイス管理

Android オープン ソース デバイス用の Microsoft Intune でサポートされている HTC Vive Focus 3

Microsoft Intune for Android オープン ソース プロジェクト デバイス (AOSP) で HTC Vive Focus 3 がサポートされるようになりました。

詳細については、Microsoft Intune でサポートされているオペレーティング システムとブラウザーに関するページを参照してください。

適用対象:

• Android (AOSP)

リモート ヘルプでのレーザー ポインターのサポートの概要

リモート ヘルプでは、Windows で支援を提供するときにレーザー ポインターを使用できるようになりました。

リモート ヘルプの詳細については、「 リモート ヘルプ」を参照してください。

適用対象:

• Windows 10 または 11

2023 年 1 月 23 日の週 (サービス リリース 2301)

アプリ管理

Windows ポータル サイトで Configuration Manager アプリを表示するかどうかを構成する

Intune では、Configuration Manager アプリが Windows ポータル サイトに表示されないようにするかどうかを選択できます。 このオプションは、 Microsoft Intune 管理センター で [ テナント管理>Customization] を選択して使用できます。 [設定] の横にある [編集] を選択します。 Configuration Manager アプリケーションを 表示 または 非表示にする オプションは、ウィンドウの [ アプリ ソース ] セクションにあります。 ポータル サイト アプリの構成に関する関連情報については、「 Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

マネージド ホーム画面アプリへの Web ページのピン留めをブロックする

管理対象ホーム画面を使用する Android Enterprise 専用デバイスで、アプリ構成を使用して、管理対象ホーム画面へのブラウザー Web ページのピン留めをブロックするように Managed Home Screen アプリを構成できるようになりました。 新しい key 値が block_pinning_browser_web_pages_to_MHS。 詳細については、「 Android Enterprise 用の Microsoft Managed Home Screen アプリを構成する」を参照してください。

デバイス管理

Android 用 Microsoft Intune アプリで表示される猶予期間の状態

Android 用 Microsoft Intune アプリに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーは、デバイスが準拠している必要がある日付と、準拠する方法の手順を確認できます。 指定された日付までにデバイスを更新しない場合、デバイスは非準拠としてマークされます。 詳細については、次のドキュメントを参照してください。

• コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成する
• コンプライアンスの状態を確認する

macOS のソフトウェア更新プログラム ポリシーが一般公開されました

macOS デバイスのソフトウェア更新ポリシーが一般公開されました。 この一般提供は、macOS 12 (モントレー) 以降を実行している監視対象デバイスに適用されます。 この機能は改善されています。

詳細については、「 Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

Windows Autopilot デバイスの診断

Windows Autopilot 診断は、個々のデバイスの Autopilot 展開モニターまたはデバイス診断モニターから Microsoft Intune 管理センターでダウンロードできます。

デバイスの登録

登録通知の一般公開

登録通知は一般公開され、Windows、Apple、Android デバイスでサポートされています。 この機能は、ユーザー主導の登録方法でのみサポートされます。 詳細については、「 登録通知を設定する」を参照してください。

セットアップ アシスタントで [住所の用語] ウィンドウをスキップまたは表示する

Apple 自動デバイス登録中に、アドレス の用語 と呼ばれる新しいセットアップ アシスタント ウィンドウをスキップまたは表示するように Microsoft Intune を構成します。 アドレス条項を使用すると、iOS/iPadOS および macOS デバイスのユーザーは、システムがそれらに対処する方法 (女性、中立、男性的) を選択して、デバイスをカスタマイズできます。 このウィンドウは既定で登録中に表示され、選択した言語で使用できます。 iOS/iPadOS 16 以降、および macOS 13 以降を実行しているデバイスでは非表示にすることができます。 Intune でサポートされているセットアップ アシスタント画面の詳細については、次を参照してください。

• Mac 用のセットアップ アシスタント画面
• iOS/iPadOS 用のアシスタント画面をセットアップする

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS/iPadOS (プレビュー)

パブリック プレビューとして、モバイル アプリケーション管理 (MAM) を使用して、iOS/iPadOS 用の Microsoft Tunnel VPN ゲートウェイを使用できます。 Intune に登録されていない iOS デバイスのこのプレビューでは、登録されていないデバイスでサポートされているアプリが Microsoft Tunnel を使用して、企業のデータとリソースを操作するときに組織に接続できます。 この機能には、次の VPN ゲートウェイのサポートが含まれます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

詳細については、次を参照してください:

• Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理者ガイド (パブリック プレビュー)
• Microsoft Tunnel for MAM iOS SDK 開発者ガイド

適用対象:

• iOS/iPadOS

Microsoft Defender for Endpoint のセキュリティ設定管理に対する攻撃面の縮小ポリシーのサポート

MDE セキュリティ構成シナリオで管理されるデバイスは、攻撃面の縮小ポリシーをサポートします。 Microsoft Defender for Endpoint を使用しているが Intune に登録されていないデバイスでこのポリシーを使用するには:

1. [エンドポイント セキュリティ] ノードで、新しい 攻撃面の削減 ポリシーを作成します。
2. [プラットフォーム] として [Windows 10]、[Windows 11]、[Windows Server] を選択します。
3. プロファイル の [攻撃面の縮小ルール ] を選択 します。

適用対象:

• Windows 10
• Windows 11

SentinelOne – 新しいモバイル脅威防御パートナー

SentinelOne を Intune と統合された Mobile Threat Defense (MTD) パートナーとして使用できるようになりました。 Intune で SentinelOne コネクタを構成することで、コンプライアンス ポリシーのリスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。 SentinelOne コネクタは、リスク レベルをアプリ保護ポリシーに送信することもできます。

デバイス構成

デバイス ファームウェア構成インターフェイス (DFCI) は、富士通デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイス) を管理できます。

Windows 10/11 を実行している一部の富士通 デバイスは、DFCI で有効になっています。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune の Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

Android (AOSP) を実行しているデバイスでの一括デバイス アクションのサポート

Android (AOSP) を実行しているデバイスの "一括デバイス アクション" を完了できるようになりました。 Android (AOSP) を実行しているデバイスでサポートされる一括デバイス アクションは、削除、ワイプ、再起動です。

適用対象:

• Android (AOSP)

設定カタログの iOS/iPadOS および macOS 設定の説明を更新しました

設定カタログには、構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 iOS/iPadOS と macOS の設定では、設定カテゴリごとに説明が更新され、より詳細な情報が含まれます。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する
• Intune の設定カタログを使用して完了できる一般的なタスク

適用対象:

• iOS/iPadOS
• macOS

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

アカウント > サブスクライブされた予定表:

• アカウントの説明
• アカウント ホスト名
• アカウントパスワード
• アカウント SSL を使用する
• アカウントユーザー名

適用対象:

• iOS/iPadOS

ネットワーク > ドメイン:

• クロス サイト追跡防止の緩和されたドメイン

適用対象:

• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

File Vault:

• ユーザーが不足している情報を入力する

適用対象:

• macOS

制限事項:

• レーティングリージョン

適用対象:

• iOS/iPadOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

デバイスの Microsoft Entra 参加の種類でアプリとポリシーの割り当てをフィルター処理する (deviceTrustType)

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

Windows 10 以降のデバイスでは、新しいデバイス フィルター プロパティ deviceTrustType を使用できます。 このプロパティを使用すると、Microsoft Entra 結合の種類に応じてアプリとポリシーの割り当てをフィルター処理できます。 値には、 Microsoft Entra 参加済み、 Microsoft Entra ハイブリッド参加済み、 および Microsoft Entra 登録済みが含まれます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Intune でフィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集

適用対象:

• Windows 10 以降

監視とトラブルシューティング

Microsoft Intune 管理センターでモバイル アプリ診断をダウンロードする (パブリック プレビュー)

パブリック プレビューでは、Android、Android (AOSP)、または Windows 用ポータル サイト アプリを介して送信されたアプリ ログを含む、管理センターのユーザーが送信したモバイル アプリ診断にアクセスし、後日 iOS、macOS、Microsoft Edge for iOS をサポートします。 ポータル サイトのモバイル アプリ診断へのアクセスの詳細については、「ポータル サイトの 構成」を参照してください。

診断ファイルを使用した WinGet のトラブルシューティング

WinGet は、Windows 10 および Windows 11 デバイスでアプリケーションを検出、インストール、アップグレード、削除、および構成できるコマンド ライン ツールです。 Intune で Win32 アプリ管理を使用するときに、次のファイルの場所を使用して WinGet のトラブルシューティングに役立つようになりました。

• %TEMP%\winget\defaultstate*.log
• Microsoft-Windows-AppXDeployment/Operational
• Microsoft-Windows-AppXDeploymentServer/Operational

Intune のトラブルシューティング ウィンドウの更新

[Intune トラブルシューティング] ウィンドウの新しいエクスペリエンスでは、ユーザーのデバイス、ポリシー、アプリケーション、および状態の詳細が提供されます。 トラブルシューティング ウィンドウには、次の情報が含まれています。

• ポリシー、コンプライアンス、アプリケーションの展開状態の概要。
• すべてのレポートのエクスポート、フィルター処理、並べ替えをサポートします。
• ポリシーとアプリケーションを除外してフィルター処理するサポート。
• ユーザーの 1 台のデバイスにフィルター処理するサポート。
• 使用可能なデバイス診断と無効なデバイスの詳細。
• 3 日以上サービスにチェックインしていないオフライン デバイスの詳細。

Microsoft Intune 管理センターで [トラブルシューティングとサポート>Troubleshoot] を選択すると、トラブルシューティング ウィンドウが表示されます。 プレビュー中に新しいエクスペリエンスを表示するには、[ トラブルシューティングの今後の変更をプレビューする ] を選択し、フィードバックを提供して [ トラブルシューティング] プレビュー ウィンドウを 表示し、[ 今すぐ試す] を選択します。

コンプライアンス ポリシーのないデバイスの新しいレポート (プレビュー)

Microsoft Intune 管理センターの [レポート] ノードからアクセスできるデバイス コンプライアンス レポートに、 コンプライアンス ポリシーのない デバイスという名前の新しい レポート が追加されました。 プレビュー段階のこのレポートでは、より多くの機能を提供する新しいレポート形式が使用されます。

この新しい組織レポートについては、「 コンプライアンス ポリシーのないデバイス (組織)」を参照してください。

このレポートの古いバージョンは、管理センターの [デバイス > モニター ] ページから引き続き使用できます。 最終的には、古いレポート バージョンは廃止されますが、現時点では引き続き使用できます。

管理上の注意が必要なテナントの問題に対するサービス正常性メッセージ

Microsoft Intune 管理 センターの [サービスの正常性とメッセージ センター] ページ に、操作を 必要とする環境内の問題のメッセージを表示できるようになりました。 これらのメッセージは、解決するアクションが必要になる可能性がある環境内の問題について管理者に警告するためにテナントに送信される重要な通信です。

Microsoft Intune 管理センターでアクションを必要とする環境内の問題のメッセージを表示するには、[テナントの管理>テナントの状態] に移動し、[サービスの正常性とメッセージ センター] タブを選択します。

管理センターのこのページの詳細については、「 Intune テナントの状態ページでテナントの詳細を表示する」を参照してください。

テナント管理

複数の証明書コネクタの UI エクスペリエンスの向上

25 を超える 証明書コネクタ が構成されている場合のエクスペリエンスの向上に役立つページ分割コントロールが [証明書コネクタ] ビューに追加されました。 新しいコントロールを使用すると、コネクタ レコードの合計数を確認でき、証明書コネクタを表示するときに特定のページに簡単に移動できます。

証明書コネクタを表示するには、 Microsoft Intune 管理センターで、 テナント管理>Connectors とトークン>Certificate コネクタに移動します。

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• 電圧セキュリティによる電圧セキュアメール

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

スクリプト

Endpoint Analytics で PowerShell スクリプト パッケージのコンテンツをプレビューする

管理者は、事前修復のために PowerShell スクリプトのコンテンツのプレビューを表示できるようになりました。 コンテンツは、スクロール機能を備えた灰色表示のボックスに表示されます。 管理者は、プレビューでスクリプトの内容を編集できません。 Microsoft Intune 管理センターで、[レポート>Endpoint analytics>Proactive 修復] を選択します。 詳細については、「 プロアクティブ修復用の PowerShell スクリプト」を参照してください。

2023 年 1 月 16 日の週

アプリ管理

Win32 アプリの置き換え GA

Win32 アプリ置き換え GA の機能セットを使用できます。 ESP 中に置き換えのあるアプリのサポートが追加され、置き換え & 依存関係を同じアプリ サブグラフに追加することもできます。 詳細については、「 Win32 アプリの置き換えの機能強化」を参照してください。 Win32 アプリの置き換えについては、「 Win32 アプリの置き換えの追加」を参照してください。

2023 年 1 月 9 日の週

デバイス構成

ポータル サイト アプリは、仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスにパスワードの複雑さの設定を適用します

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスでは、パスワードの複雑さを設定するコンプライアンス ポリシーやデバイス構成プロファイルを作成できます。 2211 リリース以降、この設定は Intune 管理センターで使用できます。

• デバイス>デバイスの管理>構成>作成>新しいポリシー>Android Enterprise for platform > 仕事用プロファイルを使用して個人所有>プロファイルの種類>Password のデバイスの制限
• デバイス>コンプライアンス ポリシー>ポリシーを作成します>Android Enterprise for platform > 仕事用プロファイルを使用して個人所有

ポータル サイト アプリでは、[パスワードの 複雑さ ] 設定が適用されます。

この設定と、仕事用プロファイルを使用して個人所有のデバイスで構成できるその他の設定の詳細については、次のページを参照してください。

• Intune での Android Enterprise のデバイス コンプライアンス設定
• Intune での Android Enterprise のデバイス制限設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイス

2022 年 12 月 19 日の週

Intune アプリ

Intune 用に新しく利用可能になった保護されたアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Appian Corporation (Android) による Intune 用 Appian

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 12 月 12 日の週 (サービス リリース 2212)

デバイス構成

リモート ヘルプ クライアント アプリには、[テナント レベル] 設定でチャット機能を無効にする新しいオプションが含まれています

リモート ヘルプ アプリでは、管理者は新しいテナント レベルの設定からチャット機能を無効にすることができます。 チャットを無効にする機能を有効にすると、リモート ヘルプ アプリのチャット ボタンが削除されます。 この設定は、Microsoft Intune の [テナント管理] の [リモート ヘルプ設定] タブにあります。

詳細については、「 テナントのリモート ヘルプを構成する」を参照してください。

適用対象: Windows 10/11

macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

File Vault > ファイル コンテナー のオプション:

• FV が無効になるのをブロックする
• FV の有効化をブロックする

制限事項:

• Bluetooth の変更を許可する

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

iOS、iPadOS、macOS デバイスでの SSO 拡張機能要求の既定の設定があります

シングル サインオン アプリ拡張機能の構成プロファイルを作成するときに、構成する設定がいくつかあります。 次の設定では、すべての SSO 拡張機能要求に次の既定値が使用されます。

• AppPrefixAllowList キー

  • macOS の既定値: com.microsoft.,com.apple.
  • iOS/iPadOS の既定値: com.apple.

• browser_sso_interaction_enabled キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

• disable_explicit_app_prompt キー

  • macOS の既定値: 1
  • iOS/iPadOS の既定値: 1

既定値以外の値を構成すると、構成された値によって既定値が上書きされます。

たとえば、 AppPrefixAllowList キーは構成しません。 既定では、すべての Microsoft アプリ (com.microsoft.) とすべての Apple アプリ (com.apple.) が macOS デバイスの SSO に対して有効になっています。 この動作を上書きするには、 com.contoso.など、別のプレフィックスをリストに追加します。

Enterprise SSO プラグインの詳細については、「 Microsoft Intune で iOS/iPadOS および macOS デバイスで Microsoft Enterprise SSO プラグインを使用する」を参照してください。

適用対象:

• iOS/iPadOS
• macOS

デバイスの登録

Android Enterprise 専用デバイスの登録トークンの有効期間が 65 年に増加

これで、最大 65 年間有効な Android Enterprise 専用デバイスの登録プロファイルを作成できるようになりました。 既存のプロファイルがある場合でも、プロファイルの作成時に選択した日付に登録トークンの有効期限が切れますが、更新中は有効期間を延長できます。 登録プロファイルの作成の詳細については、「 Android Enterprise 専用デバイスの Intune 登録を設定する」を参照してください。

デバイス管理

すべての監視対象デバイスで macOS のポリシーを更新できるようになりました

macOS デバイスのソフトウェア更新ポリシーが、すべての macOS 監視対象デバイスに適用されるようになりました。 以前は、自動デバイス登録 (ADE) を通じて登録されたデバイスのみが更新プログラムを受け取る資格があります。 macOS の更新ポリシーの構成の詳細については、「 Microsoft Intune ポリシーを使用して macOS ソフトウェア更新プログラムを管理する」を参照してください。

適用対象:

• macOS

Windows 機能更新プログラムと迅速な品質更新プログラムのポリシーとレポートが一般公開されました

Windows 10 以降の機能更新プログラムと品質更新プログラム (迅速な更新プログラム) を管理するためのポリシーとレポートはどちらもプレビュー段階から外れ、一般公開されています。

これらのポリシーとレポートの詳細については、次を参照してください。

• 機能更新ポリシー
• 品質更新プログラムの迅速化ポリシー
• Windows Update コンプライアンス レポート

適用対象:

• Windows 10 または 11

2022 年 11 月 28 日の週

アプリ管理

Intune の Microsoft Store アプリ

Intune 内で Microsoft Store アプリを検索、参照、構成、デプロイできるようになりました。 新しい Microsoft Store アプリの種類は、Windows パッケージ マネージャーを使用して実装されます。 このアプリの種類は、UWP アプリと Win32 アプリの両方を含むアプリの拡張カタログを備えています。 この機能のロールアウトは、2022 年 12 月 2 日までに完了する予定です。 詳細については、「 Microsoft Store アプリを Microsoft Intune に追加する」を参照してください。

テナント管理

複数の管理者承認のアクセス ポリシー (パブリック プレビュー)

パブリック プレビューでは、Intune アクセス ポリシー を使用して、変更が適用される前に 2 つ目の管理者承認アカウントが変更を承認するように要求できます。 この機能は、複数の管理者承認 (MAA) と呼ばれます。

アクセス ポリシーを作成して、アプリのデプロイなどのリソースの種類を保護します。 各アクセス ポリシーには、ポリシーによって保護された変更の 承認者 であるユーザーのグループも含まれます。 アプリのデプロイ構成などのリソースがアクセス ポリシーによって保護されている場合、デプロイに加えられた変更 (既存のデプロイの作成、削除、変更など) は、そのアクセス ポリシーの承認者グループのメンバーがその変更を確認して承認するまで適用されません。

承認者は、要求を拒否することもできます。 変更を要求する個人と承認者は、変更に関するメモ、または変更が承認または拒否された理由を示すことができます。

アクセス ポリシーは、次のリソースでサポートされています。

• アプリ – アプリの デプロイには適用されますが、アプリ保護ポリシーには適用されません。
• スクリプト – macOS または Windows を実行するデバイスへのスクリプトの展開に適用されます。

詳細については、「 アクセス ポリシーを使用して複数の管理承認を要求する」を参照してください。

デバイスのセキュリティ

Android 用モバイル アプリケーション管理用 Microsoft Tunnel (プレビュー)

パブリック プレビューとして、登録されていないデバイスで Microsoft Tunnel を使用できるようになりました。 この機能は、 Microsoft Tunnel for Mobile Application Management (MAM) と呼ばれます。 このプレビューでは Android がサポートされており、既存の Tunnel インフラストラクチャに変更を加えずに、次の場合に Tunnel VPN ゲートウェイがサポートされます。

• 先進認証を使用してオンプレミスのアプリとリソースへのアクセスをセキュリティで保護する
• シングル サインオンと条件付きアクセス

Tunnel MAM を使用するには、登録されていないデバイスで Microsoft Edge、Microsoft Defender for Endpoint、およびポータル サイトをインストールする必要があります。 その後、Microsoft Intune 管理センターを使用して、登録されていないデバイスの次のプロファイルを構成できます。

• Tunnel クライアント アプリとして使用するデバイスで Microsoft Defender を構成するための、マネージド アプリのアプリ構成プロファイル。
• Tunnel に接続するように Microsoft Edge を構成するための、マネージド アプリ用の 2 つ目のアプリ構成プロファイル。
• Microsoft Tunnel 接続の自動開始を有効にするアプリ保護プロファイル。

適用対象:

• Android Enterprise

2022 年 11 月 14 日の週 (サービス リリース 2211)

アプリ管理

マネージド Google Play アプリの表示を制御する

マネージド Google Play アプリをコレクションにグループ化し、Intune でアプリを選択するときにコレクションが表示される順序を制御できます。 また、検索のみでアプリを表示することもできます。 この機能は、 Microsoft Intune 管理センター で [ アプリ>すべてのアプリ>追加>管理された Google Play アプリを選択することで利用できます。 詳細については、「 マネージド Google Play ストア アプリを Intune 管理センターに直接追加する」を参照してください。

デバイス構成

仕事用プロファイルを持つ Android Enterprise 12 以降の個人所有デバイスの新しいパスワードの複雑さの設定

仕事用プロファイルを持つ Android Enterprise 11 以前の個人所有デバイスでは、次のパスワード設定を設定できます。

• デバイス>コンプライアンス>Android Enterprise for platform >個人所有の仕事用プロファイル>System security>Required password type, Minimum password length
• デバイス>デバイスの管理>構成>Android Enterprise for platform >個人所有の仕事用プロファイル>デバイスの制限>Work プロファイルの設定>パスワードの種類、 パスワードの最小長
• デバイス>デバイスの管理>構成>Android Enterprise for platform >個人所有の仕事用プロファイル>Device の制限>Password>パスワードの種類、 パスワードの最小長

Google では、Android 12 以降の個人所有デバイスの 必須パスワードの種類 と 最小パスワード長 の設定を仕事用プロファイルに非推奨とし、新しいパスワードの複雑さの要件に置き換えています。 この変更の詳細については、「 Android 13 の 0 日目のサポート」を参照してください。

新しい [パスワードの複雑さ ] 設定には、次のオプションがあります。

• なし: Intune では、この設定は変更または更新されません。 既定では、OS がパスワードを要求しない可能性があります。
• Low: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つパターンまたは PIN はブロックされます。
• 中: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを含む PIN はブロックされます。 長さ、アルファベットの長さ、または英数字の長さは、少なくとも 4 文字にする必要があります。
• 高: 繰り返し (4444) または順序付き (1234、4321、2468) シーケンスを持つ PIN はブロックされます。 長さは 8 文字以上にする必要があります。 アルファベットまたは英数字の長さは、少なくとも 6 文字にする必要があります。

Android 12 以降では、現在、コンプライアンス ポリシーまたはデバイス構成プロファイルで [必須のパスワードの種類 ] と [最小パスワード長] 設定を使用している場合は、代わりに新しい [パスワードの複雑さ ] 設定を使用することをお勧めします。

[必須のパスワードの種類] と [最小パスワード長] 設定を引き続き使用し、[パスワードの複雑さ] 設定を構成しない場合、Android 12 以降を実行している新しいデバイスが既定で [パスワードの複雑度が高い] に設定されている可能性があります。

これらの設定の詳細と、非推奨の設定が構成されている既存のデバイスに対する動作の詳細については、次のページを参照してください。

• 仕事用プロファイルを持つ Android Enterprise 個人所有のデバイス - 構成プロファイル設定の一覧
• 仕事用プロファイルを持つ個人所有の Android Enterprise デバイス - コンプライアンス ポリシー設定の一覧

適用対象:

• 仕事用プロファイルを持つ Android Enterprise 12.0 以降の個人所有デバイス

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。

[設定カタログ] で新しい設定を使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

ネットワーク > DNS 設定:

• DNS プロトコル
• サーバー アドレス
• サーバー名
• サーバー URL
• 補足一致ドメイン
• オンデマンド ルール
• アクション
• アクション パラメーター
• DNS ドメインの一致
• DNS サーバー アドレスの一致
• インターフェイスの種類の一致
• SSID 一致
• URL 文字列プローブ
• 無効化の禁止

File Vault:

• 据え置く
• [ユーザー ログアウト時に要求しない] を延期する
• ユーザー ログイン時の強制遅延の最大バイパス試行数
• 有効にする
• 回復キーを表示する
• 回復キーを使用する

File Vault > File Vault Recovery Key Escrow:

• デバイス キー
• 場所

制限事項:

• Air Play 受信要求を許可する

適用対象:

• macOS

Web > Web コンテンツ フィルター:

• リスト ブックマークを許可する
• 自動フィルターが有効
• 拒否リスト URL
• フィルター ブラウザー
• データ プロバイダー バンドル識別子をフィルター処理する
• フィルター データ プロバイダー指定要件
• フィルターの成績
• パケット プロバイダー バンドル識別子をフィルター処理する
• パケット プロバイダー指定要件をフィルター処理する
• パケットのフィルター処理
• フィルター ソケット
• フィルターの種類
• 組織
• Password
• 許可される URL
• プラグイン バンドル ID
• サーバー アドレス
• ユーザー定義名
• ユーザー名
• ベンダー構成

適用対象:

• iOS/iPadOS
• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

デバイス ファームウェア構成インターフェイス (DFCI) は、Panasonic デバイスをサポートしています

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイス) を管理できます。

Windows 10/11 を実行している新しいパナソニック デバイスは、2022 年秋から DFCI で有効になっています。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Panasonic デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune の Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを構成する
• Windows Autopilot を使用したデバイス ファームウェア構成インターフェイス (DFCI) 管理

適用対象:

• Windows 10
• Windows 11

設定カタログを使用した macOS デバイスでのサインインとバックグラウンド アイテム管理のサポート

macOS デバイスでは、ユーザーが macOS デバイスにサインインしたときにアイテムを自動的に開くポリシーを作成できます。 たとえば、アプリ、ドキュメント、フォルダーを開くことができます。

Intune の設定カタログには、 デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >Settings catalog for profile type >Login>Service Management に関する新しいサービス管理設定が含まれています。 これらの設定により、ユーザーは自分のデバイスでマネージド ログインとバックグラウンドアイテムを無効にできなくなります。

設定カタログの詳細については、次のページを参照してください。

• 設定カタログを使用して設定を構成する
• 設定カタログを使用して完了できる一般的なタスク

適用対象:

• macOS 13 以降

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Varicent by Varicent US OpCo Corporation
• myBLDNG by Bldng.ai
• Enterprise Files for Intune by Stratospherix Ltd
• ArcGIS Indoors for Intune by ESRI
• 意思決定別の会議 AS
• Idenprotect Go by Apply Mobile Ltd

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Microsoft Intune 管理センターでクラウド PC 接続の正常性チェックとエラーを確認する

Microsoft Intune 管理センターで接続の正常性チェックとエラーを確認して、ユーザーに接続の問題が発生しているかどうかを理解できるようになりました。 接続の問題の解決に役立つトラブルシューティング ツールもあります。 チェックを表示するには、[ デバイス>Windows 365>Azure ネットワーク接続>一覧で接続を選択>Overview を選択します。

テナント管理

Windows 11 の組織のメッセージを配信する (パブリック プレビュー)

Microsoft Intune を使用して、デバイス上の従業員に重要なメッセージと行動喚起を配信します。 組織のメッセージは、リモートおよびハイブリッド作業のシナリオで従業員のコミュニケーションを向上させることを目的とした事前構成済みのメッセージです。 従業員が新しいロールに適応したり、組織の詳細を確認したり、新しい更新プログラムやトレーニングを常に把握したりするのに役立ちます。 タスク バーのすぐ上、通知領域、または Windows 11 デバイスの作業開始アプリでメッセージを配信できます。

パブリック プレビューでは、次のことができます。

• Microsoft Entra ユーザー グループに割り当てる、構成済みの一般的なさまざまなメッセージから選択します。
• 組織のロゴを追加します。
• デバイス ユーザーを特定の場所にリダイレクトするカスタム宛先 URL をメッセージに含めます。
• 15 のサポートされている言語でメッセージを暗いテーマと明るいテーマでプレビューします。
• 配信期間とメッセージの頻度をスケジュールします。
• メッセージの状態と、受信したビューとクリックの数を追跡します。 ビューとクリックはメッセージによって集計されます。
• スケジュールされたメッセージまたはアクティブなメッセージを取り消します。
• 組織 メッセージ マネージャーと呼ばれる Intune で新しい組み込みロールを構成します。これにより、割り当てられた管理者はメッセージを表示および構成できます。

すべての構成は、Microsoft Intune 管理センターで行う必要があります。 Microsoft Graph API は、組織のメッセージでは使用できません。 詳細については、「 組織のメッセージの概要」を参照してください。

2022 年 11 月 7 日の週

アプリ管理

Windows Information Protection のサポートを終了する

登録なしの Windows Information Protection (WIP) ポリシーは非推奨になっています。 登録なしでは、新しい WIP ポリシーを作成できなくなります。 2022 年 12 月まで、 登録なしの シナリオの廃止が完了するまで、既存のポリシーを変更できます。 詳細については、「 変更の計画: Windows Information Protection のサポートを終了する」を参照してください。

デバイス構成

Windows 11 マルチセッション VM のユーザー構成のサポートが一般公開されました

今後は次のことができるようになりました。

• 設定カタログを使用してユーザー スコープ ポリシーを構成し、ADMX によって取り込まれたポリシーを含むユーザー のグループに割り当てる
• ユーザー証明書を構成し、ユーザーに割り当てます。
• ユーザー コンテキストにインストールし、ユーザーに割り当てるために PowerShell スクリプトを構成します。

適用対象:

• Windows 11
• Azure パブリック クラウドと Azure Government クラウドで作成された仮想マシン

2022 年 10 月 31 日の週

アプリ管理

Intune のプライマリ MTD サービス アプリ保護ポリシー設定

Intune では、Microsoft Defender for Endpoint と、プラットフォームごとの App Protection Policy 評価で "オン" になるモバイル脅威防御 (MTD) 以外のコネクタの両方がサポートされるようになりました。 この機能により、お客様が Microsoft Defender for Endpoint と Microsoft MTD 以外のサービスの間で移行するシナリオが可能になります。 また、App Protection Policy のリスク スコアを使用して保護を一時停止することは望まれません。 エンド ユーザーに適用する必要があるサービスを指定するために、[プライマリ MTD サービス] というタイトルの条件付き起動正常性チェックに新しい設定が導入されました。 詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS アプリ保護ポリシー設定」を参照してください。

2022 年 10 月 24 日の週 (サービス リリース 2210)

アプリ管理

管理対象デバイスのアプリ構成ポリシーでフィルターを使用する

フィルターを使用して、管理対象デバイスのアプリ構成ポリシーをデプロイするときに割り当てスコープを絞り込むことができます。 最初に、iOS と Android で使用可能なプロパティのいずれかを使用して フィルターを作成 する必要があります。 次に、Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[デバイスの追加>管理] を選択して、割り当てページに移動して、マネージド アプリ構成ポリシーを割り当てることができます。 グループを選択した後、フィルターを選択し、 含める または 除外 モードで使用することを決定することで、ポリシーの適用性を調整できます。 フィルターの関連情報については、「 Microsoft Intune 管理センターでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

デバイス構成

グループ ポリシー分析では、グループ ポリシー オブジェクトをインポートするときに管理者に割り当てられたスコープ タグが自動的に適用されます

グループ ポリシー分析では、オンプレミスの GPO をインポートして、Microsoft Intune を含むクラウドベースの MDM プロバイダーをサポートするポリシー設定を確認できます。 非推奨の設定や使用できない設定も確認できます。

これで、管理者に割り当てられたスコープ タグは、これらの管理者がグループ ポリシー分析に GPO をインポートするときに自動的に適用されます。

たとえば、管理者には 、ロールに割り当てられた Charlotte、 London、または Boston のスコープ タグがあります。

• Charlotte スコープ タグを持つ管理者が GPO をインポートします。
• Charlotte スコープ タグは、インポートされた GPO に自動的に適用されます。
• Charlotte スコープ タグを持つすべての管理者は、インポートされたオブジェクトを表示できます。
• ロンドンまたはボストンスコープタグのみを持つ管理者は、Charlotte 管理者からインポートされたオブジェクトを表示できません。

管理者が分析を確認したり、インポートした GPO を Intune ポリシーに移行したりするには、これらの管理者は、インポートを行った管理者と同じスコープ タグのいずれかを持っている必要があります。

これらの機能の詳細については、以下のリンクにアクセスしてください。

• Microsoft Intune でグループ ポリシー分析を使用してオンプレミス GPO を分析する
• 分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

適用対象:

• Windows 11
• Windows 10

Microsoft Intune 用の新しいネットワーク エンドポイント

Intune サービスに追加された新しい Azure Scale Units (ASU) に対応するために、新しいネットワーク エンドポイントがドキュメントに追加されました。 Microsoft Intune のすべてのネットワーク エンドポイントが最新の状態になるように、ファイアウォール規則を最新の IP アドレスの一覧で更新することをお勧めします。

完全な一覧については、 Microsoft Intune のネットワーク エンドポイントに関するページを参照してください。

Windows 11 SE オペレーティング システム SKU を使用してアプリとグループ ポリシーの割り当てをフィルター処理する

アプリまたはポリシーを割り当てるときに、デバイスの製造元、オペレーティング システム SKU など、さまざまなデバイス プロパティを使用して割り当てをフィルター処理できます。

2 つの新しい Windows 11 SE オペレーティング システム SKU を使用できます。 割り当てフィルターでこれらの SKU を使用して、Windows 11 SE デバイスを含めたり、グループ対象のポリシーやアプリケーションを適用したり除外したりできます。

フィルターと使用できるデバイス プロパティの詳細については、次のページを参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Microsoft Intune でフィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集

適用対象:

• Windows 11 SE

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

新しい設定は、設定カタログで使用できます。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

ネットワーク > 携帯ネットワーク:

• XLAT464を有効にする

適用対象:

• iOS/iPadOS

プライバシー > プライバシー設定ポリシーの制御:

• システム ポリシー アプリ バンドル

適用対象:

• macOS

制限事項:

• 迅速なセキュリティ対応のインストールを許可する
• 迅速なセキュリティ対応の削除を許可する

適用対象:

• iOS/iPadOS
• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

Windows デバイス上のデバイス ファームウェア構成インターフェイス (DFCI) プロファイルの新しい設定

Windows OS が Intune から UEFI (Unified Extensible Firmware Interface) (Devices>Manage devices>Configuration>Create>New policy>Windows 10 以降 のプラットフォーム >Templates > Device Firmware Configuration Interface) に管理コマンドを渡すことができる DFCI プロファイルを作成できます。

この機能を使用して、BIOS 設定を制御できます。 DFCI ポリシーで構成できる新しい設定があります。

• カメラ：

  • フロント カメラ
  • 赤外線カメラ
  • リアカメラ

• ラジオ:

  • WWAN
  • NFC

• ポート

  • SD カード

DFCI プロファイルの詳細については、以下を参照してください。

• Microsoft Intune で Windows デバイスのデバイスのファームウェア構成インターフェイス (DFCI) プロファイルを使用する
• DFCI プロファイル設定の一覧

適用対象:

• サポートされている UEFI での Windows 11
• サポートされている UEFI での Windows 10 RS5 (1809) 以降

デバイスの登録

最新の認証を使用した iOS/iPadOS セットアップ アシスタントでは、Just In Time Registration (パブリック プレビュー) がサポートされます

Intune では、先進認証でセットアップ アシスタントを使用する iOS/iPadOS 登録シナリオの Just-In Time (JIT) 登録がサポートされています。 JIT 登録により、プロビジョニング エクスペリエンス全体を通じてユーザーに表示される認証プロンプトの数が減り、よりシームレスなオンボード エクスペリエンスが提供されます。 Microsoft Entra の登録とコンプライアンスチェック用のポータル サイト アプリを用意する必要がなくなり、デバイス全体でシングル サインオンが確立されます。 JIT 登録は、Apple 自動デバイス登録を使用して登録し、iOS/iPadOS 13.0 以降を実行しているデバイスのパブリック プレビューで使用できます。 詳細については、「 自動デバイス登録の認証方法」を参照してください。

デバイス管理

Intune で Chrome OS デバイスを接続する (パブリック プレビュー)

Microsoft Intune 管理センターで Chrome OS で実行されている会社または学校所有のデバイスを表示します。 パブリック プレビューでは、Google 管理コンソールと Microsoft Intune 管理センター間の接続を確立できます。 Chrome OS エンドポイントに関するデバイス情報は Intune に同期され、デバイス インベントリリストに表示されます。 再起動、ワイプ、紛失モードなどの基本的なリモート アクションは、管理センターでも使用できます。 接続を設定する方法の詳細については、「 Chrome Enterprise コネクタを構成する」を参照してください。

Intune で macOS ソフトウェアの更新プログラムを管理する

Intune ポリシーを使用して、自動デバイス登録 (ADE) を使用して登録されたデバイスの macOS ソフトウェア更新プログラムを管理できるようになりました。 「Intune で macOS ソフトウェア更新ポリシーを管理する」を参照してください。

Intune では、次の macOS 更新プログラムの種類がサポートされています。

• 緊急更新プログラム
• ファームウェアの更新
• 構成ファイルの更新
• その他のすべての更新プログラム (OS、組み込みアプリ)

デバイスの更新時のスケジュール設定に加えて、次のような動作を管理できます。

• ダウンロードとインストール: 現在の状態に応じて、更新プログラムをダウンロードまたはインストールします。
• ダウンロードのみ: ソフトウェア更新プログラムをインストールせずにダウンロードします。
• 直ちにインストールする: ソフトウェア更新プログラムをダウンロードし、再起動カウントダウン通知をトリガーします。
• 通知のみ: ソフトウェア更新プログラムをダウンロードし、App Store を通じてユーザーに通知します。
• 後でインストールする: ソフトウェア更新プログラムをダウンロードし、後でインストールします。
• [未構成]: ソフトウェア更新プログラムに対してアクションは実行されません。

macOS ソフトウェア更新プログラムの管理に関する Apple の詳細については、Apple のプラットフォーム展開に関するドキュメントの 「Apple デバイスのソフトウェア更新プログラムの管理 - Apple サポート 」を参照してください。 Apple は、Apple のセキュリティ更新プログラム - Apple サポートでセキュリティ更新プログラムの一覧を保持しています。

Microsoft Intune 管理センター内から Jamf Pro のプロビジョニングを解除する

Microsoft Intune 管理センター内から Jamf Pro から Intune への統合のプロビジョニングを解除 できるようになりました。 この機能は、統合のプロビジョニングを解除できる Jamf Pro コンソールにアクセスできなくなった場合に便利です。

この機能は、Jamf Pro コンソール内から Jamf Pro を切断するのと同様に機能します。 そのため、統合を削除すると、組織の Mac デバイスは 90 日後に Intune から削除されます。

iOS/iPadOS で実行されている個々のデバイスで使用できる新しいハードウェアの詳細

[デバイス]>[すべてのデバイス]> を選択し、一覧表示されているデバイスのいずれかを選択して、その [ハードウェア] の詳細を開きます。 次の新しい詳細は、個々のデバイスの [ ハードウェア ] ウィンドウで使用できます。

• バッテリー レベル: 0 から 100 の間の任意の場所にあるデバイスのバッテリ レベルを示します。バッテリー レベルを決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 5.0 以降を実行しているデバイスで使用できます。
• 常駐ユーザー: 共有 iPad デバイス上の現在のユーザーの数を示します。ユーザーの数を決定できない場合は、既定値は null です。 この機能は、iOS/iPadOS 13.4 以降を実行しているデバイスで使用できます。

詳細については、「 Microsoft Intune でデバイスの詳細を表示する」を参照してください。

適用対象

• iOS/iPadOS

フィルターで $null 値を使用する

アプリとポリシーをグループに割り当てるときは、フィルターを使用して、作成したルール (テナント管理>Filters>Create) に基づいてポリシーを割り当てることができます。 これらの規則では、カテゴリや登録プロファイルなど、さまざまなデバイス プロパティが使用されます。

これで、-Equals演算子と-NotEquals演算子で$null値を使用できるようになりました。

たとえば、次のシナリオでは、 $null 値を使用します。

• デバイスにカテゴリが割り当てられないすべてのデバイスをターゲットにする必要があります。
• デバイスに割り当てられている登録プロファイル プロパティがないデバイスをターゲットにする必要があります。

フィルターと作成できるルールの詳細については、次のページを参照してください。

• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
• Microsoft Intune でフィルターを作成するときのデバイスのプロパティ、演算子、ルールの編集

適用対象:

• Android デバイス管理者
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 または 11

デバイスのセキュリティ

デバイス制御プロファイルのリムーバブル 記憶域の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、攻撃面の縮小ポリシーで、デバイス制御プロファイルで再利用可能な設定グループを使用できます。

デバイス制御プロファイルの再利用可能なグループには、リムーバブル ストレージの 読み取り、 書き込み、 実行 アクセスの管理をサポートする設定のコレクションが含まれます。 一般的なシナリオの例を次に示します。

• 特定の承認済み USB を許可する以外のすべてに対する書き込みおよび実行アクセスを禁止する
• 特定の承認されていない USB をブロックする以外のすべてに対する書き込みと実行のアクセスを監査する
• 共有 PC 上の特定のリムーバブル 記憶域へのアクセスを特定のユーザー グループのみに許可する

適用対象:

• Windows 10 以降

Microsoft Defender ファイアウォール規則の設定の再利用可能なグループ (プレビュー)

パブリック プレビューでは、Microsoft Defender ファイアウォール規則のプロファイルで使用できる設定の再利用可能なグループを使用できます。 再利用可能なグループは、1 回定義したリモート IP アドレスと FQDN のコレクションであり、1 つ以上のファイアウォール規則プロファイルで使用できます。 必要になる可能性がある各プロファイルで、同じ IP アドレス グループを再構成する必要はありません。

再利用可能な設定グループの機能は次のとおりです。

• 1 つ以上のリモート IP アドレスを追加します。

• リモート IP アドレスに自動解決できる 1 つ以上の FQDN を追加するか、グループの自動解決がオフのときに 1 つ以上の単純なキーワードを追加します。

• 1 つ以上のファイアウォール規則プロファイルで各設定グループを使用し、異なるプロファイルでグループの異なるアクセス構成をサポートできます。

  たとえば、同じ再利用可能な設定グループを参照し、各プロファイルを異なるデバイス グループに割り当てる 2 つのファイアウォール規則プロファイルを作成できます。 1 つ目のプロファイルでは、再利用可能な設定グループ内のすべてのリモート IP アドレスへのアクセスをブロックできますが、2 つ目のプロファイルはアクセスを許可するように構成できます。

• 使用中の設定グループに対する編集は、そのグループを使用するすべてのファイアウォール規則プロファイルに自動的に適用されます。

ルールごとに攻撃面の縮小ルールの除外

攻撃表面の縮小ルール ポリシーのルールごとの除外を構成できるようになりました。 規則ごとの除外は、新しい規則ごとの設定 ASR 規則ごとの除外のみによって有効になります。

攻撃面の縮小ルール ポリシーを作成または編集し、除外をサポートする設定を既定の [未構成] から他の使用可能なオプションのいずれかに変更すると、新しい設定ごとの除外オプションが使用できるようになります。 ASR のみのルール除外の設定インスタンスの構成は、その設定にのみ適用されます。

[攻撃面の縮小のみ除外] の設定を使用して、デバイス上のすべての攻撃面の縮小ルールに適用されるグローバル 除外を引き続き構成できます。

適用対象:

• Windows 10 または 11

Android Enterprise デバイスで証明書をサイレント モードで使用するためのアクセス許可をアプリに付与する

フル マネージド、専用、および Corporate-Owned 作業プロファイルとして登録されている Android Enterprise デバイス上のアプリによる証明書のサイレント使用を構成できるようになりました。

この機能は、証明書プロファイル構成ワークフローの新しい [アプリ] ページで、[ 証明書アクセス 権] を [ 特定のアプリに対してサイレントに付与する ] (他のアプリではユーザーの承認が必要) に設定することで利用できます。 この構成では、選択したアプリで証明書が自動的に使用されます。 他のすべてのアプリでは、ユーザーの承認を必要とする既定の動作が引き続き使用されます。

この機能では、Android Enterprise のフル マネージド、専用、および Corporate-Owned 作業プロファイルに対してのみ、次の証明書プロファイルがサポートされます。

• 派生した資格情報
• インポートされた PKCS
• PKCS
• SCEP

Microsoft Intune アプリのアプリ内通知

Android オープン ソース プロジェクト (AOSP) デバイス ユーザーは、Microsoft Intune アプリでコンプライアンス通知を受信できるようになりました。 この機能は、AOSP ユーザー ベースのデバイスでのみ使用できます。 詳細については、「 AOSP コンプライアンス通知」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• MyITOps, Ltd による Intune 用 MyITOps
• MURAL - Visual Collaboration by Tactivos, Inc

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 10 月 17 日の週

アプリ管理

Android デバイス上のマネージド アプリ用の強化されたアプリ ピッカー

Android デバイス ユーザーは、Intune ポータル サイト アプリで既定のアプリの選択を選択、表示、削除できます。 ポータル サイトには、管理対象アプリに対するデバイス ユーザーの既定の選択肢が安全に格納されます。 ユーザーは、ポータル サイト アプリで選択内容を表示および削除するには、[設定>既定のアプリ>既定値を確認します。 この機能は、Android MAM SDK の一部であるマネージド アプリ用の Android カスタム アプリ ピッカーの機能強化です。 既定のアプリを表示する方法の詳細については、「既定のアプリの 表示と編集」を参照してください。

2022 年 10 月 10 日の週

デバイス管理

Microsoft エンドポイント マネージャーのブランド化の変更

2022 年 10 月 12 日の時点で、Microsoft Endpoint Manager という名前は使用されなくなります。 今後は、クラウドベースの統合エンドポイント管理を Microsoft Intune、オンプレミス管理を Microsoft Configuration Manager と参照します。 高度な管理の開始に伴い、Microsoft Intune は Microsoft のエンドポイント管理ソリューション向けに成長を続ける製品ファミリの名前です。 詳細については、エンドポイント管理 Tech Community ブログの 公式のお知らせ を参照してください。 Microsoft エンドポイント マネージャーを削除するためのドキュメントの変更が進行中です。

詳細については、 Intune のドキュメントを参照してください。

Windows ポータル サイトに表示される猶予期間の状態

Windows ポータル サイトに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 ユーザーが指定した日付までにデバイスを更新しない場合、デバイスの状態は非準拠に変わります。 猶予期間の設定の詳細については、「 コンプライアンス 違反のアクションを使用してコンプライアンス ポリシーを構成 する」および「 デバイスの詳細ページからアクセスを確認する」を参照してください。

Microsoft Intune で使用できる Linux デバイス管理

Microsoft Intune では、Ubuntu Desktop 22.04 または 20.04 LTS を実行しているデバイスの Linux デバイス管理がサポートされるようになりました。 Intune 管理者は、Microsoft Intune 管理センターで Linux 登録を有効にするために何もする必要はありません。 Linux ユーザーは 、サポートされている Linux デバイス を自分で登録し、Microsoft Edge ブラウザーを使用して企業リソースにオンラインでアクセスできます。

管理センターでは、次のことができます。

• Microsoft Edge で条件付きアクセス ポリシーを適用します。
• 次に関する規則を含む Linux デバイス コンプライアンス ポリシーを作成 します。
  • 許可されるディストリビューション
  • カスタム コンプライアンス
  • デバイスの暗号化
  • パスワード ポリシー
• 検出用の POSIX 準拠シェル スクリプトと JSON ファイルを使用してカスタム コンプライアンス設定を適用し、使用するカスタム設定を定義します。

2022 年 10 月 3 日の週

デバイスのセキュリティ

コンプライアンス違反の警告メッセージにリンクが含まれている

リモート ヘルプでは、コンプライアンス違反警告通知 [ デバイスコンプライアンス情報の表示] にリンクが追加され、ヘルパーはデバイスが Microsoft Intune で準拠していない理由の詳細を確認できます。

詳細については、次を参照してください:

• Microsoft Intune リモート ヘルプ

• デバイスのコンプライアンスを監視する

適用対象: Windows 10/11

2022 年 9 月 26 日の週

監視とトラブルシューティング

Microsoft Intune 管理センターでコンテキストを失わずにヘルプとサポートを開く

Microsoft Intune 管理センターの ? アイコンを使用して、管理センターの現在のフォーカス ノードを失うことなく 、ヘルプとサポート セッションを開くようになりました。 ? アイコンは、管理センターのタイトル バーの右上に常に表示されます。 この変更により、 ヘルプとサポートにアクセスする別の方法が追加されます。

?を選択すると、管理センターによって、新しい個別のサイド バイ サイド ウィンドウでヘルプとサポート ビューが開きます。 この別のウィンドウを開くと、元の場所に影響を与えずにサポート エクスペリエンスを自由に移動し、管理センターに集中できます。

2022 年 9 月 19 日の週 (サービス リリース 2209)

アプリ管理

Microsoft Intune の新しいアプリの種類

管理者は、次の 2 種類の新しい種類の Intune アプリを作成して割り当てることができます。

• iOS/iPadOS Web クリップ
• Windows Web リンク

これらの新しいアプリの種類は、既存の Web リンク アプリケーションの種類と同様に機能しますが、Web リンク アプリケーションはすべてのプラットフォームに適用されるのに対し、特定のプラットフォームにのみ適用されます。 これらの新しいアプリの種類では、グループに割り当てることができ、割り当てフィルターを使用して割り当てのスコープを制限することもできます。 この機能は、 Microsoft Intune 管理センター>Apps>All Apps>Add にあります。

デバイス管理

Microsoft Intune は Windows 8.1 のサポートを終了しています

Microsoft Intune は、Windows 8.1 を実行しているデバイスのサポートを 2022 年 10 月 21 日に終了します。 その日以降、Windows 8.1 を実行しているデバイスを保護するのに役立つテクニカル アシスタンスと自動更新は使用できなくなります。 また、基幹業務アプリのサイドローディング シナリオは Windows 8.1 デバイスにのみ適用されるため、Intune は Windows 8.1 サイドローディングをサポートしなくなりました。 サイドローディングは、インストールしてから、Microsoft Store によって承認されていないアプリを実行またはテストしています。 Windows 10/11 では、"サイドローディング" は、"信頼されたアプリのインストール" を含むようにデバイス構成ポリシーを設定するだけです。

割り当てに表示されるグループ メンバー数

管理センターでポリシーを割り当てるときに、グループ内のユーザーとデバイスの数を確認できるようになりました。 両方のカウントを使用すると、適切なグループを特定し、割り当てが適用する前に与える影響を把握するのに役立ちます。

デバイス構成

Android Enterprise デバイスにカスタム サポート情報を追加するときの新しいロック画面メッセージ

Android Enterprise デバイスでは、デバイス (Devices>Manage devices>Configuration>Create>New policy>Android Enterprise>プラットフォームのフル マネージド、専用、および企業所有の仕事用プロファイル>プロファイルの種類>Custom サポート情報のデバイス制限) を示すデバイス制限構成プロファイルを作成できます。

構成できる新しい設定があります。

• ロック画面メッセージ: デバイスロック画面に表示されるメッセージを追加します。

ロック画面メッセージを構成するときに、次のデバイス トークンを使用してデバイス固有の情報を表示することもできます。

• {{AADDeviceId}}: Microsoft Entra デバイス ID
• {{AccountId}}: Intune テナント ID またはアカウント ID
• {{DeviceId}}: Intune デバイス ID
• {{DeviceName}}: Intune デバイス名
• {{domain}}：ドメイン名
• {{EASID}}: Exchange Active Sync ID
• {{IMEI}}: デバイスの IMEI
• {{mail}}: ユーザーのメール アドレス
• {{MEID}}: デバイスの MEID
• {{partialUPN}}: @ 記号の前の UPN プレフィックス
• {{SerialNumber}}: デバイスのシリアル番号
• {{SerialNumberLast4Digits}}: デバイスのシリアル番号の最後の 4 桁
• {{UserId}}: Intune ユーザー ID
• {{UserName}}：ユーザー名
• {{userPrincipalName}}: ユーザーの UPN

この設定の詳細については、「Intune を使用して機能を許可または制限するための Android Enterprise デバイスの設定」を参照してください。

適用対象:

• Android 7.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

Windows デバイスの設定カタログのユーザー スコープまたはデバイス スコープでフィルター処理する

設定カタログ ポリシーを作成するときは、[設定の追加]>[フィルターの追加] を使用して、Windows OS エディション (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログ) に基づいて設定をフィルター処理できます。

[フィルターの追加] を選択すると、ユーザー スコープまたはデバイス スコープで設定をフィルター処理することもできます。

設定カタログの詳細については、「 Windows、iOS/iPadOS、macOS デバイスで設定カタログを使用して設定を構成する」を参照してください。

適用対象:

• Windows 10
• Windows 11

Android オープン ソース プロジェクト (AOSP) プラットフォームの一般公開

Android オープン ソース プロジェクト (AOSP) プラットフォームで実行される企業所有デバイスの Microsoft Intune 管理が一般公開されました (GA)。 この機能には、パブリック プレビューの一部として利用できる機能の完全なスイートが含まれています。

現在、Microsoft Intune では RealWear デバイスの新しい Android (AOSP) 管理オプションのみがサポートされています。

• 展開ガイド: Microsoft Intune で Android デバイスを管理する
• 展開ガイド: Microsoft Intune で Android デバイスを登録する

適用対象:

• Android Open Source Project (AOSP)

デバイス ファームウェア構成インターフェイス (DFCI) で Acer デバイスがサポートされるようになりました

Windows 10/11 デバイスの場合は、DFCI プロファイルを作成して、UEFI (BIOS) 設定 (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイス) を管理できます。

Windows 10/11 を実行している新しい Acer デバイスは、2022 年後半に DFCI で有効になります。 そのため、管理者は DFCI プロファイルを作成して BIOS を管理し、これらの Acer デバイスにプロファイルを展開できます。

対象となるデバイスを入手するには、デバイス ベンダーまたはデバイスの製造元に問い合わせてください。

Intune の DFCI プロファイルの詳細については、「 Microsoft Intune の Windows デバイスでデバイス ファームウェア構成インターフェイス (DFCI) プロファイルを使用する」を参照してください。

適用対象:

• Windows 10
• Windows 11

iOS/iPadOS および macOS 設定カタログで使用できる新しい設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。

設定カタログには新しい設定があります。 Microsoft Intune 管理センターでは、これらの設定は、デバイス>管理デバイス>Configuration>Create>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログで確認できます。

新しい設定には、次のものが含まれます。

アカウント > LDAP:

• LDAP アカウントの説明
• LDAP アカウント のホスト名
• LDAP アカウント パスワード
• LDAP アカウント SSL を使用する
• LDAP アカウント ユーザー名
• LDAP 検索設定

適用対象:

• iOS/iPadOS
• macOS

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

プライバシー > プライバシー設定ポリシーの制御:

• ユーザー補助
• アドレス帳
• Apple イベント
• 予定表
• カメラ
• ファイル プロバイダーのプレゼンス
• リッスン イベント
• メディア ライブラリ
• マイク
• Photos
• イベントの投稿
• リマインダー
• スクリーン キャプチャ
• 音声認識
• システム ポリシーのすべてのファイル
• システム ポリシー デスクトップ フォルダー
• システム ポリシー ドキュメント フォルダー
• システム ポリシーのダウンロード フォルダー
• システム ポリシー ネットワーク ボリューム
• システム ポリシーリムーバブル ボリューム
• システム ポリシー Sys Admin Files

適用対象:

• macOS

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

デバイスの登録

登録通知を設定する (パブリック プレビュー)

登録通知は、新しいデバイスが Microsoft Intune に登録されたときに、電子メールまたはプッシュ通知を介してデバイス ユーザーに通知します。 登録通知は、セキュリティ上の目的で使用できます。 ユーザーに通知し、エラーに登録されたデバイスを報告したり、採用またはオンボード プロセス中に従業員と通信したりするのに役立ちます。 登録通知は、Windows、Apple、および Android デバイスのパブリック プレビューで試すことができます。 この機能は、ユーザー主導の登録方法でのみサポートされます。

デバイスのセキュリティ

コンプライアンス ポリシーを [すべてのデバイス] グループに割り当てる

[ すべてのデバイス ] オプションが コンプライアンス ポリシー の割り当てに使用できるようになりました。 このオプションを使用すると、ポリシーのプラットフォームに一致する組織内のすべての登録済みデバイスにコンプライアンス ポリシーを割り当てることができます。 すべてのデバイスを含む Microsoft Entra グループを作成する必要はありません。

[すべてのデバイス] グループを含めると、個々のデバイス グループを除外して、割り当てスコープをさらに絞り込むことができます。

Trend Micro – 新しいモバイル脅威防御パートナー

Intune と統合されたモバイル脅威防御 (MTD) パートナーとして、 Trend Micro Mobile Security をサービスとして 使用できるようになりました。 Intune で Trend MTD コネクタを構成することで、リスク評価に基づく条件付きアクセスを使用して、企業リソースへのモバイル デバイス アクセスを制御できます。

詳細については、以下を参照してください。

• Intune でのモバイル脅威防御の統合

Intune ポータル サイト Web サイトに表示される猶予期間の状態

Intune ポータル サイト Web サイトに、コンプライアンス要件を満たしていないが、指定された猶予期間内にあるデバイスを考慮する猶予期間の状態が表示されるようになりました。 ユーザーには、準拠する必要がある日付と、準拠する方法の手順が表示されます。 指定した日付までにデバイスを更新しない場合、その状態は非準拠に変わります。 猶予期間の設定の詳細については、「 準拠していないアクションを使用してコンプライアンス ポリシーを構成する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• RingCentral for Intune by RingCentral, Inc.
• MangoApps,Work from Anywhere by MangoSpring, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2022 年 9 月 12 日の週

デバイス管理

Intune で iOS/iPadOS 14 以降が必要になりました

Apple が iOS/iPadOS 16 をリリースすると、Microsoft Intune と Intune ポータル サイトには iOS/iPadOS 14 以降が必要になります。 詳細については、「 Intune でサポートされているオペレーティング システムとブラウザー」を参照してください。

Intune で macOS 11.6 以降が必要になりました

Apple が macOS 13 Ventura、Microsoft Intune、ポータル サイト アプリ、Intune MDM エージェントをリリースすると、macOS 11.6 (Big Sur) 以降が必要になります。 詳細については、「 Intune でサポートされているオペレーティング システムとブラウザー」を参照してください。

2022 年 9 月 5 日の週

デバイス管理

リモート ヘルプ バージョン: 4.0.1.13 リリース

リモート ヘルプ 4.0.1.13 では、複数のセッションを同時に開くことができない問題に対処するための修正プログラムが導入されました。 修正により、アプリがフォーカスなしで起動され、キーボード ナビゲーションとスクリーン リーダーが起動時に動作しない問題も修正されました。

詳細については、「Intune と Microsoft Intune でリモート ヘルプを使用する」を参照してください。

2022 年 8 月 29 日の週

アプリ管理

Android 用 Microsoft Intune App SDK を更新しました

Android 用 Intune App SDK の開発者ガイドが更新されました。 更新されたガイドでは、次のステージが提供されます。

• 統合の計画
• MSAL の前提条件
• MAM の概要
• MAM 統合の要点
• マルチ ID
• アプリの構成
• アプリ参加機能

詳細については、「 Android 用 Intune App SDK」を参照してください。

2022 年 8 月 22 日の週

デバイス管理

テナントに接続されたデバイスに Intune ロールベースのアクセス制御 (RBAC) を使用する

Microsoft Intune 管理センターからテナントに接続されたデバイスと対話するときに、Intune ロールベースのアクセス制御 (RBAC) を使用できるようになりました。 たとえば、Intune をロールベースのアクセス制御機関として使用する場合、Intune の ヘルプ デスク オペレーター ロール を持つユーザーには、Configuration Manager から割り当てられたセキュリティ ロールやその他のアクセス許可は必要ありません。 詳細については、「 テナント接続クライアントの Intune ロールベースのアクセス制御」を参照してください。

2022 年 8 月 15 日の週 (サービス リリース 2208)

アプリ管理

Android の強力な生体認証の変更検出

Intune のアクセス用の PIN ではなく Android フィンガープリント 設定が変更されています。これにより、エンド ユーザーは PIN ではなく 指紋認証 を使用できます。 この変更により、エンド ユーザーに強力な生体認証の設定を要求できます。 また、強力な生体認証の変更が検出された場合は、エンド ユーザーにアプリ保護ポリシー (APP) PIN の確認を要求できます。 Microsoft Intune 管理センターで Android アプリ保護ポリシーを見つけるには、[アプリ>アプリ保護ポリシー>ポリシーの作成>Android] を選択します。 詳細については、「 Microsoft Intune の Android アプリ保護ポリシー設定」を参照してください。

Microsoft Intune アプリで Android (AOSP) で使用できるコンプライアンス以外の詳細

Android (AOSP) ユーザーは、Microsoft Intune アプリでコンプライアンス違反の理由を表示できます。 これらの詳細では、デバイスが非準拠とマークされている理由について説明します。 この情報は、ユーザー関連付け Android (AOSP) デバイスとして登録されているデバイスの [デバイスの詳細] ページで入手できます。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

• Nexis Newsdesk Mobile by LexisNexis
• マイ ポータル by MangoApps (Android)
• Re:Work Enterprise by 9Folders, Inc.

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイスの登録

Microsoft Intune 管理センターからゼロタッチ登録を構成する

これで、 Microsoft Intune 管理センターから Android ゼロタッチ登録を構成できるようになりました。 この機能を使用すると、ゼロタッチ アカウントを Intune にリンクしたり、サポート情報を追加したり、ゼロタッチ対応デバイスを構成したり、プロビジョニングの追加機能をカスタマイズしたりできます。 管理センターからゼロタッチを有効にする方法の詳細については、「 Google Zero Touch を使用して登録する」を参照してください。

デバイス管理

Windows 10/11 デバイス コンプライアンスのカスタム設定が一般公開されました

次のカスタム機能のサポートが一般公開されています。

• PowerShell スクリプトを使用して、Windows デバイスのカスタム コンプライアンス ポリシー設定を作成します。
• ポータル サイト アプリに表示されるカスタム コンプライアンスルールと修復メッセージを作成します。

適用対象:

• Windows 10 または 11

macOS シェル スクリプトとカスタム属性の内容を表示する

スクリプトを Intune にアップロードした後、macOS シェル スクリプトとカスタム属性の内容を表示できます。 [デバイス>By platform>macOS] を選択すると、Microsoft Intune 管理センターでシェル スクリプトとカスタム属性を表示できます。 詳細については、「 Intune で macOS デバイスでシェル スクリプトを使用する」を参照してください。

Android (AOSP) 企業デバイスで使用できるパスコードリモートアクションをリセットする

Android オープン ソース プロジェクト (AOSP) 企業デバイスの Microsoft Intune 管理センター からパスコードのリセット リモート アクションを使用できます。

リモート アクションの詳細については、次を参照してください。

• Intune でデバイスのパスコードをリセットまたは削除する
• Intune でデバイスをリモートで再起動する
• Intune を使用してデバイスをリモートでロックする

適用対象:

• Android Open Source Project (AOSP)

デバイス構成

Android (AOSP) デバイスの証明書プロファイルのサポート

Android オープン ソース プロジェクト (AOSP) プラットフォームを実行する企業所有およびユーザーレス デバイスで、簡易証明書登録プロトコル (SCEP) 証明書プロファイル を使用できるようになりました。

カスタム ADMX および ADML 管理テンプレートのインポート、作成、管理

組み込みの ADMX テンプレートを使用するデバイス構成ポリシーを作成できます。 Microsoft Intune 管理センターで、プラットフォーム >Templates>Administrative テンプレートの [デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降を選択します。

カスタムおよびサード パーティ/パートナーの ADMX テンプレートと ADML テンプレートを Intune 管理センターにインポートすることもできます。 インポートしたら、デバイス構成ポリシーを作成し、ポリシーをデバイスに割り当て、ポリシーの設定を管理できます。

詳細については、次のページを参照してください。

• カスタム ADMX および ADML 管理テンプレートを Intune にインポートする
• 概要: Windows 10/11 テンプレートを使用して、Microsoft Intune でグループ ポリシー設定を構成します。

適用対象:

• Windows 11
• Windows 10

Android Enterprise Wi-Fi デバイス構成プロファイルに HTTP プロキシを追加する

Android Enterprise デバイスでは、基本的な設定とエンタープライズ設定を使用して Wi-Fi デバイス構成プロファイルを作成できます。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise>Fully Managed、Dedicated、Corporate-Owned Work Profile for platform >Wi-Fi を選択します。

プロファイルを作成するときは、PAC ファイルを使用して HTTP プロキシを構成するか、設定を手動で構成できます。 組織内の各 Wi-Fi ネットワークに対して HTTP プロキシを構成できます。

プロファイルの準備ができたら、フル マネージド、Dedicated、Corporate-Owned Work Profile デバイスにこのプロファイルを展開できます。

構成できる Wi-Fi 設定の詳細については、「 Microsoft Intune の Android Enterprise 専用およびフル マネージド デバイスの Wi-Fi 設定を追加する」を参照してください。

適用対象:

• Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイル

iOS/iPadOS 設定カタログでは、宣言型デバイス管理 (DDM) がサポートされています

ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイスでは、設定を構成するときに、設定カタログで Apple の宣言型デバイス管理 (DDM) が自動的に使用されます。

• DDM を使用するためにアクションは必要ありません。 この機能は設定カタログに組み込まれています。
• 設定カタログ内の既存のポリシーに影響はありません。
• DDM で有効になっていない iOS/iPadOS デバイスでは、Apple の標準 MDM プロトコルが引き続き使用されます。

詳細については、次を参照してください:

• 宣言型デバイス管理を満たす (Apple の Web サイトを開く)
• Microsoft は、Apple 更新プログラムの Intune 登録を簡略化します
• 設定カタログを使用して、Windows、iOS、iPadOS、macOS のデバイスで設定を構成する

適用対象:

• Apple ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイス

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログで使用できます。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類の設定カタログを選択します。

新しい設定には、次のものが含まれます。

Microsoft AutoUpdate:

• 最新チャネル
• 最終カウントダウン タイマーの分数

制限事項:

• ユニバーサル コントロールを許可する

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

認証 > 拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 種類
• URL

認証 > 拡張可能シングル サインオン > 拡張可能シングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• パスワードの変更を許可する
• 資格情報バンドル ID ACL
• 資格情報の使用モード
• カスタム ユーザー名ラベル
• ユーザーのセットアップの遅延
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL に Kerberos アプリを含める
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 資格情報キャッシュの監視
• Kerberos のみを実行する
• 推奨される KDC
• 校長名
• パスワード変更 URL
• パスワード通知日数
• Password Req Complexity
• パスワード Req 履歴
• パスワード Req の長さ
• パスワード Req 最小年齢
• Password Req Text
• LDAP に TLS を要求する
• ユーザープレゼンスを要求する
• サイト コード
• ローカル パスワードの同期
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 種類

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログには、新しい iOS/iPadOS 設定が用意されています。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS for platform >プロファイルの種類の設定カタログを選択します。 以前は、これらの設定はテンプレートでのみ使用できます。

認証 > 拡張可能なシングル サインオン:

• 拡張機能データ
• 拡張機能識別子
• Hosts
• Realm
• 画面ロック動作
• Team 識別子
• 種類
• URL

認証 > 拡張可能シングル サインオン > 拡張可能シングル サインオン Kerberos:

• 拡張機能データ
• 自動ログインを許可する
• 資格情報バンドル ID ACL
• ドメイン領域マッピング
• ヘルプ テキスト
• バンドル ID ACL にマネージド アプリを含める
• 既定の領域
• 推奨される KDC
• 校長名
• ユーザープレゼンスを要求する
• サイト コード
• サイトの自動検出を使用する
• 拡張機能識別子
• Hosts
• Realm
• Team 識別子
• 種類

システム構成 > ロック画面メッセージ:

• アセット タグ情報
• ロック画面脚注

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

監視とトラブルシューティング

新しい非準拠デバイスと設定レポート

レポート>Device Compliance>Reports には、新しい非準拠デバイスと設定組織レポートがあります。 このレポート:

• 非準拠の各デバイスを一覧表示します。
• 非準拠デバイスごとに、デバイスが準拠していないコンプライアンス ポリシー設定が表示されます。

このレポートの詳細については、「 非準拠デバイスと設定レポート (組織)」を参照してください。

2022 年 8 月 1 日の週

デバイスのセキュリティ

Microsoft Tunnel Gateway サーバーでの UDP 接続の使用を無効にする

Microsoft Tunnel Servers による UDP の使用を無効にできるようになりました。 UDP の使用を無効にすると、VPN サーバーはトンネル クライアントからの TCP 接続のみをサポートします。 TCP 接続のみの使用をサポートするには、デバイスで一般公開バージョンの Microsoft TunnelクライアントアプリとしてのMicrosoft Defender for Endpointをトンネル クライアント アプリとして使用する必要があります。

UDP を無効にするには、 Microsoft Tunnel Gatewayの サーバー構成を作成または編集 し、 [UDP 接続を無効にする] という名前の新しいオプションのチェック ボックスをオンにします。

アプリ管理

Windows 一括アプリインストール用の企業ポータル サイト

Windows 用ポータル サイトでは、ユーザーが複数のアプリを選択して一括インストールできるようになりました。 Windows 用ポータル サイトの [アプリ] タブで、ページの右上隅にある複数選択ビュー ボタンを選択します。 次に、インストールする必要がある各アプリの横にあるチェック ボックスをオンにします。 次に、[選択したものをインストール] ボタンを選択してインストールを開始します。 選択したすべてのアプリは、ユーザーが各アプリを右クリックしたり、各アプリのページに移動したりする必要なく、同時にインストールされます。 詳細については、「 デバイスにアプリをインストールして共有する 」および 「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」を参照してください。

2022 年 7 月 25 日の週 (サービス リリース 2207)

デバイス管理

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始する

Microsoft Intune アプリから AOSP デバイスのコンプライアンス チェックを開始できるようになりました。 [デバイスの詳細] に移動します。 この機能は、Microsoft Intune アプリを介してユーザー関連付け (Android) AOSP デバイスとして登録されているデバイスで使用できます。

Mac でブートストラップ エスクローの状態を監視する

Microsoft Intune 管理センターで、登録済みの Mac のブートストラップ トークン エスクローの状態を監視します。 [Bootstrap token escrowed] (ブートストラップ トークンがエスクローされた) と呼ばれる Intune の新しいハードウェア プロパティは、ブートストラップ トークンが Intune でエスクローされたかどうかを報告します。 macOS のブートストラップ トークンのサポートの詳細については、「ブートストラップ トークン」を参照してください。

Android Enterprise デバイスの共通条件モードを有効にする

Android Enterprise デバイスの場合、共通条件モードという新しい設定を使用して、政府機関などの機密性の高い組織でのみ通常使用される一連のセキュリティ標準を昇格できます。

適用対象:

• Android 5.0 以降
• 会社所有 Android Enterprise フル マネージド
• 会社所有 Android Enterprise 専用デバイス
• Android Enterprise の会社所有の仕事用プロファイル

新しい設定である共通条件モードは、Android Enterprise (完全管理、専用、および会社所有の仕事用プロファイル) のデバイス制限テンプレートを構成するときに、[システム セキュリティ] カテゴリに表示されます。

共通条件モードが [必須] に設定されたポリシーを受け取るデバイスは、以下を含むもののこれらに限定されないセキュリティ コンポーネントを昇格させます。

• Bluetooth 長期キーの AES-GCM 暗号化
• Wi-Fi 構成ストア
• ソフトウェア更新プログラムの手動メソッドであるブートローダーのダウンロード モードをブロックする
• キーの削除時に追加のキーのゼロ化を義務付けます
• 認証されていない Bluetooth 接続を防止する
• FOTA 更新プログラムには 2048 ビットの RSA-PSS 署名が必要です

情報セキュリティ国際評価基準 (Common Criteria) に関する詳細については、以下をご覧ください。

• commoncriteriaportal.org での情報セキュリティ国際評価基準 (Common Criteria) への準拠
• Android 管理 API ドキュメントの CommonCriteriaMode
• samsungknox.com の Knox Deep Dive: 情報セキュリティ国際評価基準 (Common Criteria) モード

iOS/iPadOS および macOS で実行されている個々のデバイスで利用可能な新しいハードウェアの詳細

Microsoft Intune 管理センターで、[デバイス] >[すべてのデバイス] を選択>一覧に表示されているデバイスのいずれかを選択し、[ハードウェアの詳細] を開きます。 次の新しい詳細は、個々のデバイスの [ハードウェア] ウィンドウで利用できます。

• 製品名: iPad8,12など、デバイスの製品名を表示します。 iOS/iPadOS および macOS デバイスで利用できます。

詳細については、「Microsoft Intune を使用してデバイスの詳細を表示する」を参照してください。

適用対象:

• iOS/iPadOS、macOS

リモート ヘルプ バージョン: 4.0.1.12 リリース

リモート ヘルプ 4.0.1.12 では、認証されていないときに表示される "後でやり直す" メッセージに対処するために、さまざまな修正プログラムが導入されました。 修正プログラムには、自動更新機能の強化も含まれています。

詳細については、「Intune でリモート ヘルプを使用する」を参照してください。

デバイスの登録

Intune では、iOS/iPadOS および macOS セットアップ アシスタントで最新の認証を使用して、別のデバイスからのサインインをサポートします

自動デバイス登録 (ADE) を行うユーザーは、別のデバイスからサインインすることで認証できるようになりました。 このオプションは、最新の認証を使用してセットアップ アシスタントを使用して登録する iOS/iPadOS デバイスと macOS デバイスで使用できます。 デバイス ユーザーに別のデバイスからのサインインを求める画面が設定アシスタントに埋め込まれ、登録中に表示されます。 ユーザーのサインイン プロセスの詳細については、「Intune ポータル サイト アプリの取得 (../user-help/sign-in-to-the-company-portal.md#sign-in-via-another-device)」を参照してください。

Windows Autopilot デバイスでハードウェアの変更を検出して管理する

Microsoft Intune は、Autopilot 登録デバイスでハードウェアの変更を検出したときに警告を表示するようになりました。 管理センターで、影響を受けるすべてのデバイスを表示および管理できます。 また、影響を受けるデバイスを Windows Autopilot から削除し、ハードウェアの変更が考慮されるように再登録することもできます。

デバイス構成

設定カタログの新しい macOS Microsoft AutoUpdate (MAU) 設定

設定カタログでは、Microsoft AutoUpdate (MAU) (Devices>Manage devices>Configuration>Create>New policy>macOS for platform >Settings catalog for profile type) の設定がサポートされています。

次の設定を使用できるようになりました。

Microsoft AutoUpdate:

• データ収集ポリシーを自動的に確認する
• 強制更新の数日前
• 遅延更新プログラム
• Office Insider メンバーシップを無効にする
• AutoUpdate を有効にする
• 更新プログラムのチェックを有効にする
• 拡張ログを有効にする
• 起動時にアプリを登録する
• キャッシュ サーバーを更新する
• 更新プログラム チャネル
• 更新チェック頻度 (分)
• アップデーターの最適化手法

この設定は、次のアプリケーションの基本設定を構成するために使用できます。

• ポータル サイト
• Microsoft AutoUpdate
• Microsoft Defender
• Microsoft Defender ATP
• Microsoft Edge
• Microsoft Edge Beta
• Microsoft Edge Canary
• Microsoft Edge Dev
• Microsoft Excel
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft リモート デスクトップ
• Microsoft Teams
• Microsoft Word
• OneDrive
• Skype for Business

設定カタログの詳細については、次のページを参照してください。

• Intune の設定カタログを使用して完了できるタスク
• Microsoft Intune で設定カタログを使用してポリシーを作成する

構成可能な Microsoft AutoUpdate の設定の詳細については、以下をご覧ください。

• 環境設定を使用して、Office for Mac のプライバシー コントロールを管理する - Office の展開。
• Microsoft AutoUpdate から更新の期限を設定します

適用対象:

• macOS

設定カタログの新しい iOS/iPadOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 設定カタログ (Devices>Manage devices>Configuration>Create>New policy>iOS/iPadOS for platform >プロファイルの種類の設定カタログ) で使用できる新しい iOS/iPadOS 設定があります。

新しい設定には、次のものが含まれます。

ネットワーク > 携帯ネットワーク:

• 許可されたプロトコル マスク
• 国内ローミングで許可されるプロトコル マスク
• ローミングで許可されるプロトコル マスク
• 認証の種類
• 名前
• Password
• プロキシ サーバー ポート
• プロキシ サーバー
• Username

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

ユーザー エクスペリエンスの > 通知:

• グループ化の種類
• プレビューの種類
• カー プレイで表示する

印刷 > エアプリント:

• 強制 TLS
• ポート

App Management > アプリ ロック:

• 自動ロックを無効にする
• デバイスのローテーションを無効にする
• 呼び出し音スイッチを無効にする
• スリープ解除ボタンを無効にする
• タッチを無効にする
• 音量ボタンを無効にする
• アシスト タッチを有効にする
• 色の反転を有効にする
• モノラル オーディオを有効にする
• 読み上げの選択を有効にする
• 音声コントロールを有効にする
• ナレーションを有効にする
• ズームを有効にする
• 補助タッチ
• 色を反転する
• 音声コントロール
• ナレーション
• 拡大/縮小

ネットワーク > ドメイン:

• Safari パスワードのオートフィル ドメイン

ネットワーク > ネットワーク使用状況ルール:

• アプリケーション ルール
• 携帯データ ネットワークを許可する
• ローミング携帯データ ネットワークを許可する
• アプリ識別子の一致

制限事項:

• アカウントの変更を許可する
• アクティビティの継続を許可する
• ゲーム センターのフレンドを追加できるようにする
• エア ドロップを許可する
• Air Print を許可する
• Air Print 資格情報ストレージを許可する
• Air Print iBeacon Discovery を許可する
• アプリの携帯データ ネットワークの変更を許可する
• アプリ クリップを許可する
• アプリのインストールを許可する
• アプリの削除を許可する
• Apple Personalized Advertising を許可する
• アシスタントを許可する
• アシスタント ユーザー生成コンテンツを許可する
• ロック中にアシスタントを許可する
• 自動修正を許可する
• 自動ロック解除を許可する
• アプリの自動ダウンロードを許可する
• Bluetooth の変更を許可する
• Bookstore を許可する
• Bookstore Erotica を許可する
• カメラを許可する
• 携帯プランの変更を許可する
• チャットを許可する
• クラウド バックアップを許可する
• クラウド ドキュメント同期を許可する
• クラウド キーチェーン同期を許可する
• クラウド フォト ライブラリを許可する
• クラウド プライベート リレーを許可する
• 連続パス キーボードを許可する
• 定義参照を許可する
• デバイス名の変更を許可する
• 診断の送信を許可する
• 診断送信の変更を許可する
• ディクテーションを許可する
• 制限の有効化を許可する
• Enterprise App Trust を許可する
• Enterprise Book バックアップを許可する
• Enterprise Book メタデータ同期を許可する
• コンテンツと設定の消去を許可する
• ESIM の変更を許可する
• 明示的なコンテンツを許可する
• ファイル ネットワーク ドライブへのアクセスを許可する
• ファイルの USB ドライブへのアクセスを許可する
• デバイスの検索を許可する
• "友達を探す" を許可する
• "友達を探す" の変更を許可する
• 指紋でロック解除できるようにする
• 指紋の変更を許可する
• ゲーム センターを許可する
• ローミング時にグローバル バックグラウンド フェッチを許可する
• ホストのペアリングを許可する
• アプリ内購入を許可する
• iTunes を許可する
• キーボード ショートカットを許可する
• 一覧表示されたアプリ バンドル ID を許可する
• ロック画面コントロール センターを許可する
• ロック画面の通知ビューを許可する
• ロック画面の今日の表示を許可する
• メール プライバシー保護を許可する
• 管理対象アプリ クラウド同期を許可する
• 管理対象が非管理対象の連絡先を書き込むことを許可する
• マルチプレイヤー ゲームを許可する
• ミュージック サービスを許可する
• ニュースを許可する
• NFC を許可する
• 通知の変更を許可する
• 管理対象から非管理対象へのオープンを許可する
• 非管理対象から管理対象へのオープンを許可する
• OTAPKI 更新を許可する
• ペアリングされたウォッチを許可する
• ロック中に通帳を許可する
• パスコードの変更を許可する
• パスワードの自動入力を許可する
• パスワード近接要求を許可する
• パスワード共有を許可する
• 個人用ホットスポットの変更を許可する
• フォト ストリームを許可する
• ポッドキャストを許可する
• 予測キーボードを許可する
• 新しいデバイスへの近接セットアップを許可する
• 無線サービスを許可する
• リモート画面の観察を許可する
• Safari を許可する
• スクリーンショットを許可する
• 共有デバイス一時セッションを許可する
• 共有ストリームを許可する
• スペル チェックを許可する
• スポットライト インターネットの結果を許可する
• システム アプリの削除を許可する
• UI アプリのインストールを許可する
• UI 構成プロファイルのインストールを許可する
• 非管理対象が管理対象の連絡先を読み取ることを許可する
• ペアリングされていない外部ブートを回復するのを許可する
• 信頼されていない TLS プロンプトを許可する
• USB 制限付きモードを許可する
• ビデオ会議を許可する
• 音声ダイヤルを許可する
• VPN の作成を許可する
• 壁紙の変更を許可する
• 自律単一アプリ モードで許可されるアプリ ID
• ブロックされたアプリ バンドル ID
• 適用されたソフトウェア更新プログラムの遅延
• Air Drop を非管理対象にする
• Air Play 発信要求ペアリング パスワードを強制する
• Air Print Trusted TLS 要件を強制する
• 冒涜的表現のアシスタント フィルターを強制する
• 自動入力の前に認証を強制する
• 日付と時刻の自動設定を強制する
• クラスルームの自動参加を強制する
• クラスを離れるためにクラスルームにアクセス許可の要求を強制する
• クラスルームでアプリとデバイス ロックのプロンプトを表示しないように強制する
• ソフトウェア更新プログラムの強制遅延
• 暗号化されたバックアップを強制する
• iTunes ストアのパスワード入力を強制する
• 広告追跡の制限を強制する
• デバイスにディクテーションのみを強制する
• デバイスに翻訳のみを強制する
• Watch の手首検出を強制する
• WiFi 電源をオンにする
• 許可されたネットワークのみに WiFi を強制する
• 管理対象の台紙を要求する
• Safari に Cookie を承諾する
• Safari にオートフィルを許可する
• Safari Allow JavaScript
• Safari に Popups を許可する
• Safari に不正警告を強制する

Intune でのカタログ プロファイルの構成設定詳細については、「設定カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• iOS/iPadOS

設定カタログで使用できる新しい macOS 設定

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 新しい設定は、設定カタログ (デバイス>管理デバイス>Configuration>Create>新しいポリシー>macOS for platform >プロファイルの種類の設定カタログ) で使用できます。

新しい設定には、次のものが含まれます。

システム構成 > システム拡張機能:

• リムーバブル システム拡張機能

次の設定は、設定カタログにも含まれます。 以前は、テンプレートでのみ使用できました。

システム構成 > システム拡張機能:

• ユーザー オーバーライドを許可する
• 許可されるシステム拡張機能の種類
• 許可されるシステム拡張機能
• 許可されるチーム識別子

Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

適用対象:

• macOS

フィルター作成時の [デバイスのプレビュー] の新しい検索機能

Microsoft Intune 管理センターでは、フィルターを作成し、アプリとポリシー (デバイス>Organize devices>Filters>Create) を割り当てるときにこれらのフィルターを使用できます。

フィルターの作成時に、[デバイスのプレビュー] を選択して、フィルター条件に一致する登録済みデバイスのリストを表示できます。 [デバイスのプレビュー] では、デバイス名、OS バージョン、デバイス モデル、デバイス メーカー、プライマリ ユーザーのユーザー プリンシパル名、デバイス ID を使用して、リストを検索することもできます。

フィルターの詳細については、「 Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

2022 年 7 月 18 日の週

デバイス管理

WMI の問題のデバッグに役立つ新しいイベント ビューアー

診断を 収集 する Intune のリモート アクションが拡張され、Windows Management Instrumentation (WMI) アプリの問題に関する詳細が収集されました。

新しいイベント ビューアーには、次のものが含まれます。

• Microsoft-Windows-WMI-Activity/Operational
• Microsoft-Windows-WinRM/Operational

Windows デバイス診断の詳細については、「Windows デバイスからのCollect 診断」 を参照してください。

2022 年 7 月 4 日の週

デバイスの管理

デバイス モデルごとのエンドポイント分析スコア

エンドポイント分析で、デバイス モデル別のスコア が表示されるようになりました。 これらのスコアで、管理者が環境内のデバイス モデル間でユーザー エクスペリエンスをコンテキスト化できるようになります。 モデルごとのスコアとデバイスごとのスコアは、どこからでも作業 レポートを含むすべてのエンドポイント分析レポートで利用できます。

監視とトラブルシューティング

[診断の収集] を使用して、Windows の迅速な更新に関する詳細を収集する

診断の 収集 に対する Intune のリモート アクションによって、デバイスに展開 する Windows の迅速な更新プログラム に関する詳細が収集されるようになりました。 この情報は、迅速な更新に関する問題のトラブルシューティングに使用できます。

収集される新しい詳細は次のとおりです。

• ファイル: C:\Program Files\Microsoft Update Health Tools\Logs\*.etl
• レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CloudManagedUpdate