Intune を利用したデバイス管理

会社で用意したデバイスを管理したい方、BYOD(Bring Your Own Device) で業務データを管理したい方はぜひ Microsoft Intune のご利用をご検討ください。
この記事では Intune によって何が実現できるのかを簡単にご紹介いたします。

Intune 基本機能

Intune で実現できることは多くありますが、導入においてすべてをやろうとすると大変なことになるので実現することに優先順位をつけて順に対応することが重要となります。

以前の Intune の機能が前提の話となりますが、MS の Intune のサポート担当者によると Intune をきっちり導入すると半年くらいはかかると言っていました。
現在はさらに管理できることも多くなっているため、ウォーターフォールできっちり設定・導入すると半年以上かかってもおかしくないと言えるかもしれません。

いくつかの基本機能を列挙してみます。

  • デバイス登録
  • コンプライアンス ポリシー管理
  • デバイス 構成管理
  • アプリケーション管理
  • Windows Update 管理
  • デバイス管理

他にもいくつか機能はありますが、上記が主な機能となり、検討することも多いでしょう。

デバイス登録

Intune では以下の OS が登録可能となっています。

デバイス登録の方法によって端末を一度リセットする必要があったりするため、こちらのリンク先で確認してください。
[デバイス登録とは]
https://docs.microsoft.com/ja-jp/intune/device-enrollment

Windows の登録方法は以前 2 つの方法がありました。
Windows をコンピュータとして登録する方法とモバイルデバイスとして登録する方法です。

前者は Intune エージェントアプリをインストールして管理し、後者は Intune にモバイルデバイスとして登録し管理します。登録方法によって機能が若干異なりますが、現在は MDM が推奨されており、MDM に機能も統合されていっています。
現在の Intune の管理ポータルである Azure Portal では MDM が前提となっています。

コンプライアンス ポリシー管理

コンプライアンス ポリシーとは、管理者が定めた設定や状態などの一定条件を端末が満たしているかどうかを管理することが出来ます。
メニュー上はデバイスのポリシー準拠とも表記されています。

例えば、複雑なパスワードや PIN を設定しているかどうか、デバイスを暗号化しているかどうか、マルウェア対策を行っているかどうか、OS のバージョンなどが代表的な設定となります。

Azure AD Premium の条件付きアクセスと連携することでポリシーに準拠した端末のみ Office 365 にアクセスさせることも可能となります。

デバイス 構成管理

デバイス 構成とは、デバイスの各種設定を管理者が設定することが出来ます。コンプライアンス ポリシーは端末の状態を可視化するだけである一方、デバイス 構成管理ではデバイスへ一定の影響を与えることになるため、BYOD かどうかによってどこまで設定するかは各社の考え方によって変わることでしょう。

デバイス構成管理で個別にポリシーを定めることも出来ますが、セキュリティ ベースラインと呼ばれるマイクロソフトが用意したデバイス構成のセットを適用することも可能です。セキュリティ ベースラインは多くの設定が有効になっているため、設定時には予め内容を確認することをオススメします。

アプリケーション管理

アプリケーション管理とは、アプリケーションの配布や各種ストアの管理を行うことが出来、一般にMAM(Mobile Application Management)と呼ばれます。
OS ごとに MAM で実現できることはこちらを参照ください。
[Microsoft Intune アプリの管理とは]
https://docs.microsoft.com/ja-jp/intune/app-management

会社が認めるアプリケーションを使用させることでリスクを排除するという考え方があります。また、 MAM と密接に関連している機能として MCM(Mobile Contents Management)があります。

MCM とは、主に BYOD 端末において個人所有の情報と会社所有の情報が混在する中で、会社所有の業務情報を管理する機能です。
例えば、会社で使用させている Office アプリケーションから個人で利用している SNS への転載を禁止したり、メールでの転送を禁止したりすることが可能で、情報漏えいを制御することが出来ます。また、会社を辞める時には会社情報のみを消す(ワイプする)ことも出来ます。

Windows Update 管理

Windows 10 や iOS の OS アップデートをコントロールすることが出来ます。コンプライアンス ポリシーと連携して、OS の更新状況によって端末の動作をコントロールするのも良いかと思います。

デバイス管理

デバイス管理では、登録したデバイスに対してさまざまなアクションを管理者がリモートで実行できる機能です。OS によって出来ることも異なるため以下のリンクで予め確認ください。
[Microsoft Intune デバイスの管理とは]
https://docs.microsoft.com/ja-jp/intune/device-management

これらの機能によっていざという時に適切に情報管理することが出来ます。

まとめ

以上、駆け足ながら Intune の基本機能を整理してみました。これだけの機能を整理して導入するだけでも考慮するべきことや決めることは多くあるため、最小限の機能から順に導入することをオススメします。

Intune の導入にお困りの方はぜひ当社にお問い合わせください。

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。