リモートワーク環境になり、情シス担当として従業員のPC管理をどうするか、悩ましい問題だと思います。従来の管理手法では、従業員のPCすべてを把握することは難しく、セキュリティの強化もままなりません。

今回は、そんな悩める情シス担当の方に向けて、新時代のデバイス管理ツールであるMicrosoft Intuneについて、ご紹介します。

Intune（インチューン）をわかりやすく説明

Intuneってなに？

Intuneとは、Microsoft社が提供する「Enterprise Mobility + Security（EMS）」サービスに含まれる「Microsoft Intune」のことを指します。
Intuneでは、クラウド（※1）上でデバイスとアプリケーションを一括管理するモダンマネジメントが実現できます。

モダンマネジメントについては、下記の記事でも詳しく解説しています。

モダンマネジメントの利点としては、在宅勤務やサテライトオフィスでの勤務など、昨今の場所を問わない働き方のニーズに適合していることです。

従来のデバイス・アプリケーション管理といえば、デバイスが社内にあり、社内のネットワークに接続されていることが前提でした。
しかし、前述のように社外で働く需要が高まるにつれ、従来の仕組みや管理手法では、管理が難しい状況が発生します。

そこで、Intuneによるモダンマネジメントを行うことで、社内にデバイスがなくてもリモートで管理ができるようになります。

また、Intuneのコンソール画面はインターネット接続環境とブラウザソフトがあれば利用でき、従来のActive Directory（※2）のような、デバイスを管理するために社内で専用の物理サーバーを構築する必要がない仕組みのため、導入コストも低く抑えることができます。

※1：クラウド：ユーザがインフラやソフトウェアを用意しなくても、インターネットを通じてサービスを利用できる仕組み。データやアプリケーションはインターネット上のサーバーにあるため、オンライン環境であれば、デバイスを問わずアクセスできる。

※2：Active Directory：Windows ServerというOSに搭載されている、PCやユーザ情報を一元管理するための機能。この機能を使用するときは専用の物理サーバーを用意する必要がある。

Intuneでデバイス管理の仕組み

Intuneは「Microsoft Azure（※3）」内の「Azure Active Directory（Azure AD）」と統合されています。そのため、Intuneにデバイスを登録すると同時にAzure ADにもデバイス登録をすることになります。

Azure ADへのデバイス登録には2種類あり、デバイス情報の登録のみを行う「Azure AD登録」とAzure ADにドメイン参加（※4）も行う「Azure AD参加」があります。

Microsoftが提示している使い分けとしては、Azure AD登録は個人所有のデバイスを会社に持ち込んで活用する「Bring Your Own Device（BYOD）」を想定しており、もとから会社で管理しているデバイスであれば、Azure AD参加を行うのが一般的です。

なお、すでにオンプレミス（※5）環境でActive Directory（AD）を利用している場合は「ハイブリッドAzure AD参加」という手法で、既存のADアカウントをAzure ADと同期させることも可能です。

Intuneにデバイスを登録する計3つのパターンを表にまとめると、以下のようになります。

※3：Microsoft Azure：Microsoftが提供するクラウドコンピューティングサービス。システム開発や運用に役立つ機能をインターネットに接続されたMicrosoftのサーバーにアクセスすることで利用できる。

※4：ドメイン参加：ドメインとは範囲を意味し、Active Directoryのセキュリティの範囲でPCやユーザ情報を管理する単位を指す。ドメインに参加するということは、その管理範囲にPCを追加することである。

※5：オンプレミス：自社内でサーバーやソフトウェアを設置・管理・運用すること。

Intuneは何ができるの？

では実際にIntuneでは何ができるのか、代表的な機能5つをご紹介します。

1. デバイス管理
2. アプリケーション管理
3. コンプライアンス ポリシー管理
4. 更新プログラム管理
5. AutopilotによるPCの初期セットアップ

それでは一つずつ、わかりやすく解説していきましょう。

デバイス管理

Intuneに登録できるデバイスはおおまかに以下の6つと幅広いため、端末のOSに縛られず、一元的な管理ができます。

1. Windows10
2. Surface Hub
3. Apple iOS 12.0 以降
4. Apple iPadOS 13.0 以降
5. Mac OS X 10.13 以降
6. Android（5.0以降, エンタープライズ）

Intuneにデバイスを登録すると、例として次のようなアクションをリモートで行うことができるようになります。

• パスワードリセット
• デバイスのロック
• ワイプ
• BitLocker 回復キー発行 （Windows のみ）
• 再起動（Windows のみ）
• 紛失モード（iOSのみ）
• カスタム通知の送信（Andoroid, iOS/iPadOSのみ）

また、Intuneのコンソール画面からは、登録されたすべてのデバイス名やシリアル番号およびIMEI、そしてデバイスの所有者やOSバージョンなどの情報が閲覧でき、会社のコンプライアンスポリシーに準拠していないデバイスの抽出も可能です。

これにより、たとえばIT管理者が在宅勤務であっても、デバイスの管理ができるようになります。

アプリケーション管理

Intuneにアプリケーションを追加することで、登録されたデバイスにアプリケーションを配信することができます。

また、アプリケーションのインストールを割り当てたデバイスにおいて、たとえば正常にアプリケーションがインストール完了したかどうかのレポートなども確認することができます。

アプリケーションをIntuneでデバイスに割り当てると、アプリケーションのインストールはデバイス上で自動的に行われるため、IT管理者がインストール作業を行うために会社へ赴く必要がなくなります。

Intuneに追加できるアプリケーションの種類は以下です。

• ストアアプリ（Microsoft, Android, Apple, Google Play など）
• 基幹業務アプリ（.msi, .appxbundle, .msix,  .msixbundle .appx, .apk, .ipa, .intunemac）
• WEBアプリ（WEB上にあるアプリケーションのリンク）
• iOS/iPadOS, Androidの組み込みアプリ
• Win32アプリ（.intunewin）

補足として、最後のWin32アプリについて、これは「.exe」形式などに代表されるインストール用プログラムを起動するタイプのアプリケーションとなりますが、こちらはそのままではIntuneに追加できないため「.intunewin」形式にツールで変換する必要があります。

＼資料でデバイス管理についてもっと理解する／

コンプライアンス ポリシー管理

デバイスを会社のセキュリティ要件に準拠させることができます。
また、条件付きアクセス機能により、準拠していないデバイスには会社のリソース（社内メールや業務アプリケーションなど）にアクセスできないように設定することもできます。

コンプライアンスポリシーで設定できる項目の例は以下です。

• デバイスの正常性
  • Bitlockerの有効／無効
  • コードの整合性（ドライバーとシステムファイルの破損や悪意のあるソフトウェアの検知）の有効／無効
    
    
• デバイスのプロパティ
  • OSの最小／最大バージョンの指定
    
    
• システムセキュリティ
  • デバイスロック解除のパスワード有効／無効
  • 単純なパスワード（1234や1111など）のブロック
  • パスワードの複雑さ・最小文字数の設定
  • パスワードの有効期限
  • デバイス上のストレージの暗号化
  • ファイアウォール・ウイルス対策・スパイウェア対策の有効／無効

作成したコンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用されます。
そしてIT管理者は、Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できます。

更新プログラム管理

Intuneで、Windows10ソフトウェア更新プログラムのインストールを一括管理できます。

Windows10に標準搭載されているWindows Update for Businessに対して、Intuneを使用して更新プログラムのインストール延期設定や、更新プログラムが未適用のデバイスの抽出などができます。

ただし更新プログラムのインストールに関しては、延期するだけでインストールを無期限に停止することはできません。

基本的には推奨の更新プログラムをすべて適用することが前提となり、WSUS（※6）のように必要な更新プログラムを選択することはできないため、社内独自の業務システムとの兼ね合いで更新プログラムの選択が必要な場合においては、Intuneは向かないといえるでしょう。

※6：WSUS：Microsoftが提供しているWindows更新プログラムを制御するためのソフトウェア。使用するためには物理サーバーにソフトウェアをインストールする必要がある。「Windows Server Update Services」の略で、ダブルサスやダブサスとも呼ばれる。

AutopilotによるPCの初期セットアップ

PCに初めて電源を投入すると、「Out-Of-Box Experience（OOBE）」と呼ばれる初期セットアップ画面が出てきます。
通常は、このセットアップ作業を手動で行いますが、Intuneから利用できる「Autopilot」という機能で自動化することができます。

Autopilotで設定できるOOBEの項目は以下となります。
これらを設定することで、ユーザによるOOBE画面の手動操作をスキップさせ、ユーザはごく少ない手順でPCを使用開始できます。

1. 使用許諾契約書 （EULA）
2. プライバシーの設定
3. ローカル管理ユーザの設定
4. アカウント変更オプションの表示／非表示
5. 言語と地域の設定
6. キーボードの構成
7. PC名のテンプレート設定

Autopilotのおもな流れ

1. IntuneのAutopilot展開サービスにデバイスIDを登録する（Intuneのデバイス登録とは異なる）
2. Autopilotの構成プロファイルを設定し、デバイスが含まれるグループに割り当てる

3. PCをユーザに配布する

PC配布後のユーザ操作

1. ユーザはPCを受け取り、電源を投入する
2. OOBE画面でいくつかの操作がスキップされ、サインイン画面が表示されたらユーザごとのAzure ADアカウントでサインインする（要インターネット接続環境）
3. 初期セットアップ完了後、デバイスは自動的にAzure ADへの参加と、Intuneにデバイス登録が行われる

Intuneを使うための費用はいくら？

Intuneを導入するにあたり、Microsoftのサブスクリプションライセンスが必要となります。
Intuneのサービスが含まれる代表的なMicrosoftの上位ライセンスは以下の3つです。
いずれも無料の試用版があるので、試してみるとよいでしょう。

1. Microsoft 365 Business Premium
2. Microsoft 365 E5
3. Enterprise Mobility + Security E5

下位ライセンスも含め、会社の規模や、すでにWindows10とOfficeを利用しているかどうかによって選ぶプランが変わります。

（2021年3月16日時点）

まとめ

今回はIntuneの概要とできることについて、ご紹介しました。
これまでのオンプレミス環境に比べると、Intuneはほとんどの操作・管理がクラウド上で完結でき、テレワークには欠かせないツール・仕組みであることがお分かりいただけたでしょうか。

まとめると、Intuneのおおまかなポイントは以下の4点となります。

Intuneとは

• Microsoftのサブスクリプションサービスのひとつ
• クラウド上でデバイスの総合的な管理ができる
• アカウントはAzure Active Directoryと統合されている
• 既存のActive Directoryと併用もできる

※この記事は、公開時点の情報をもとに作成しています。

アイエスエフネットのシンプルデバイス管理サービス

アイエスエフネットのシンプルデバイス管理サービスでは、Intuneの新規導入や既存Active Directoryからの移行だけでなく、デバイスのキッティングおよびユーザへの配送、さらに、その後の運用設計までを一括してサポートします。

リモートワーク環境でのデバイス管理にお悩みの情シス担当の方へ向けて、シンプルデバイス管理がよくわかるサービス資料をご用意しました。
以下のボタンをクリックして、1分のフォーム入力ですぐに資料が受け取れます。

＼デバイス管理をラクにしたい情シス担当の方は必見／