Microsoft Intune でエンドポイント セキュリティを使用してデバイスを管理する

セキュリティ管理者は、Microsoft Intune 管理センターの [すべてのデバイス ] ビューを使用して、デバイスを確認および管理します。 このビューには、Microsoft Entra ID からのすべてのデバイスの一覧が表示されます。これには、次の管理対象デバイスが含まれます。

• Intune
• Configuration Manager
• 共同管理(Intune と Configuration Manager の両方による)
• Defender for Endpoint セキュリティ設定管理(Intune に登録されていないデバイスの場合)

Microsoft Entra ID と統合されている場合、デバイスはクラウド内にあり、オンプレミス インフラストラクチャから使用できます。

ビューを見つけるには、 Microsoft Intune 管理センター を開き、[ エンドポイント セキュリティ>すべてのデバイス] を選択します。

[ すべてのデバイス] ビューにはデバイスが表示され、それぞれに関する重要な情報が含まれます。

• デバイスの管理方法
• コンプライアンスのステータス
• オペレーティング システムの詳細
• デバイスが最後にチェックインされたとき
• その他

デバイスの詳細の表示中に、ドリルインするデバイスを選択して詳細を確認できます。

管理の種類別に使用可能な詳細

Microsoft Intune 管理センターでデバイスを表示する場合は、デバイスの管理方法を検討してください。 管理ソースは、管理センターに表示される情報と、デバイスを管理するために使用できるアクションに影響します。

次のフィールドについて考えてみましょう。

• [マネージド] – この列は、デバイスの管理方法を識別します。 オプションによって管理されるオプションは次のとおりです。

  • MDM - これらのデバイスは Intune によって管理されます。 コンプライアンス データは Intune によって収集され、管理センターに報告されます。

  • ConfigMgr – これらのデバイスは、 テナントアタッチ を使用して Configuration Manager で管理するデバイスを追加するときに、Microsoft Intune 管理センターに表示されます。 管理するには、デバイスで Configuration Manager クライアントを実行し、次のコマンドを実行する必要があります。

    • ワークグループ (Microsoft Entra 参加済み、それ以外の場合)
    • ドメイン参加済み
    • Microsoft Entra ハイブリッド参加済み (AD と Microsoft Entra ID に参加)

    Configuration Manager によって管理されているデバイスのコンプライアンス状態は、Microsoft Intune 管理センターには表示されません。

    詳細については、Configuration Manager ドキュメントの 「テナントアタッチを有効にする 」を参照してください。

  • MDM/ConfigMgr エージェント – これらのデバイスは、Intune と Configuration Manager の間で共同管理されています。

    共同管理では、 さまざまな共同管理ワークロードを選択 して、Configuration Manager または Intune によって管理される側面を決定します。 これらの選択肢は、デバイスが適用するポリシーと、コンプライアンス データを管理センターに報告する方法に影響します。

    たとえば、Intune を使用して、ウイルス対策、ファイアウォール、暗号化のポリシーを構成できます。 これらのポリシーはすべて、 Endpoint Protection のポリシーと見なされます。 共同管理デバイスで Configuration Manager ポリシーではなく Intune ポリシーを使用するには、Endpoint Protection の共同管理スライダーを Intune または パイロット Intune に設定します。 スライダーが Configuration Manager に設定されている場合、デバイスは代わりに Configuration Manager のポリシーと設定を使用します。

  • MDE - Intune に登録されていないデバイスです。 代わりに、Defender for Endpoint にオンボードされ、 多くの Intune エンドポイント セキュリティ ポリシーを処理できます。 セキュリティ設定管理に登録されているデバイスは、Intune 管理センターと Defender ポータルの両方に表示されます。 管理センターの [ 管理対象 ] フィールドに、これらのデバイスの MDE が表示されます。

• コンプライアンス: コンプライアンスは、デバイスに割り当てられているコンプライアンス ポリシーに対して評価されます。 これらのポリシーのソースとコンソール内の情報は、デバイスの管理方法によって異なります。Intune、Configuration Manager、または共同管理。 共同管理デバイスでコンプライアンスを報告するには、[デバイス コンプライアンス] の共同管理スライダーを Intune または パイロット Intune に設定します。

  コンプライアンスがデバイスの管理センターに報告されたら、詳細をドリルインして追加の詳細を表示できます。 デバイスが準拠していない場合は、その詳細を詳しく調べて、準拠していないポリシーに関する情報を確認します。 この情報は、調査に役立ち、デバイスをコンプライアンスに取り込むのに役立ちます。

• 最終チェックイン: このフィールドは、デバイスが最後に状態を報告した時刻を識別します。

デバイス ポリシーを確認する

MDM と Intune によって管理されているデバイスに適用されるデバイス構成ポリシーに関する情報を表示するには、「 セキュリティ レポート」を参照してください。 エンドポイント セキュリティ ポリシーとセキュリティ ベースライン ポリシーはどちらもデバイス構成ポリシーです。

レポートを表示するには、デバイスを選択し、[監視] カテゴリの下にある [デバイスの構成] を選択します。

Configuration Manager によって管理されているデバイスは、レポートにポリシーの詳細を表示しません。 これらのデバイスの追加情報を表示するには、Configuration Manager コンソールを使用します。

デバイスのリモート アクション

リモート アクションは、Microsoft Intune 管理センターからデバイスを開始または適用できるアクションです。 デバイスの詳細を表示すると、デバイスに適用されるリモート アクションにアクセスできます。

リモート アクションは、[デバイスの 概要 ] ページの上部に表示されます。 画面の領域が限られているため表示できないアクションは、右側の省略記号を選択して使用できます。

使用できるリモート アクションは、デバイスの管理方法によって異なります。

• Intune: デバイス プラットフォームに適用されるすべての Intune リモート アクション を使用できます。

• Configuration Manager: 次の Configuration Manager アクションを使用できます。

  • コンピューター ポリシーの同期
  • ユーザー ポリシーの同期
  • アプリの評価サイクル

• 共同管理: Intune リモート アクションと Configuration Manager アクションの両方にアクセスできます。

• Defender for Endpoint セキュリティ設定の管理 - これらのデバイスは Intune によって管理されず、リモート アクションをサポートしていません。

一部の Intune リモート アクションは、デバイスのセキュリティ保護や、デバイス上にある可能性のあるデータの保護に役立ちます。 リモート アクションを使用すると、次のことができます。

• デバイスをロックする
• デバイスをリセットする
• 会社データを削除する
• スケジュールされた実行の外部でマルウェアをスキャンする
• BitLocker キーをローテーションする

次の Intune リモート アクションは、セキュリティ管理者にとって重要であり、 完全な一覧のサブセットです。 すべてのデバイス プラットフォームですべてのアクションを使用できるわけではありません。 リンクは、各アクションの詳細を提供するコンテンツに移動します。

• デバイスの同期 – デバイスを Intune ですぐにチェックインさせます。 デバイスがチェックインすると、デバイスに割り当てられている保留中のアクションまたはポリシーが受信されます。

• 再起動 – Windows 10/11 デバイスを強制的に 5 分以内に再起動します。 デバイス所有者は再起動の通知を自動的に受け取らないので、作業が失われる可能性があります。

• クイック スキャン – Defender にマルウェアのデバイスのクイック スキャンを実行させ、その結果を Intune に送信させます。 クイック スキャンでは、レジストリ キーや既知の Windows スタートアップ フォルダーなど、マルウェアが登録されている可能性がある一般的な場所を確認します。

• フル スキャン – Defender にマルウェアのデバイスのスキャンを実行させ、その結果を Intune に送信させます。 フル スキャンでは、マルウェアが登録されている可能性がある一般的な場所を確認し、デバイス上のすべてのファイルとフォルダーもスキャンします。

• Windows Defender セキュリティ インテリジェンスの更新 – デバイスに Microsoft Defender ウイルス対策のマルウェア定義を更新させます。 このアクションはスキャンを開始しません。

• BitLocker キーのローテーション – Windows 10 バージョン 1909 以降、または Windows 11 を実行しているデバイスの BitLocker 回復キーをリモートでローテーションします。

また、 一括デバイスアクションを 使用して、複数のデバイスの リタイア や ワイプ などの一部のアクションを同時に管理することもできます。 一括アクション は、[ すべてのデバイス ] ビューから使用できます。 プラットフォーム、アクションを選択し、最大 100 台のデバイスを指定します。

デバイスに対して管理するオプションは、デバイスが Intune でチェックインするまで有効になりません。

次の手順

Intune でエンドポイント セキュリティを管理する