前回、Windows AutopilotとIntuneの関係や、Autopilotでキッティングした際はIntuneにデバイス登録され、IntuneからOSの設定やアプリケーションが配布されることを説明しました。

今回はIntuneからのOSの設定でどんなことが出来るか、いくつかの例を挙げて説明したいと思います。

Intuneとは？

前回も説明いたしましたが、Intuneとは何か簡単に復習しましょう。

Intuneとは、Microsoft社が提供するMDM（モバイルデバイスマネジメント）、

MAM（モバイルアプリケーションマネジメント）の２つの機能を実装したクラウド型デバイス管理システムです。

簡単に言うと、デバイスとアプリの管理をする製品のことですが、IntuneはOS設定やアプリ配信等の制御を行い、デバイスとアプリケーションのセキュリティを簡単かつ効果的に管理できるようにします。

また、Autopilot（WindowsPCのセットアップを制御するための技術）とIntuneを用いてPCセットアップを行うことで、PCセットアップの工数を大幅に削減できたり、インターネット経由で各種設定が完了するため、社内ネットワークではなくともセットアップが可能になるといったメリットがあります。

IntuneによるOS設定

構成プロファイルの例

IntuneのOS設定は構成プロファイルというもので提供されます。

Intuneに登録したデバイスに対して構成プロファイルが配布され、その設定内容に基づいて設定変更が行われます。

企業や組織は、この構成プロファイルを使用して一元的にデバイスを管理し、セキュリティを強化することができます。

つまり、Intuneに登録したデバイスに対して、一律の構成プロファイルを適用することによって、ガバナンスやセキュリティの強化が出来るということです。

以下はよく使用される設定となります。

・Bitlockerの自動適用

ハードディスクを暗号化する仕組みであるBitlockerを自動的に適用する設定です。

ユーザーが意識することなく、サイレントでディスクの暗号化が行われます。

また、暗号化を解除するためのBitlocker回復キー[1] [2] [3] [4] は登録したデバイス情報に追加保存されるため、回復キーを管理者側で適切に管理することが可能となります。

・Wi-Fi設定の配布

社内ネットワークへの接続は、セキュリティの観点からも十分に考慮する必要があります。

Wi-Fiの設定をエンドユーザーに公開することなく、管理者側で制御することはセキュリティ向上につながります。

SSID（※）への接続時にパスワードだけでなく証明書による認証を求める場合は、必要な証明書を登録したデバイスにのみ配布するということも可能となっています。

※SSID:無線LANにおいて、ネットワークを区別するための名前のこと。アクセスポイント（ルーター）に設定されており、同じSSIDを持つ複数のアクセスポイントがある場合は、それらは同じネットワークに属していると見なされる。

・設定画面の変更

エンドユーザーによるOS設定の変更を制御したい場合、設定画面のメニューを表示させなくするなどの制御が可能となっています。

例えば、基本的に業務に使用することが少ない「ゲーム」やSMSによる情報漏洩につながる可能性がある「電話」等のメニューを非表示にすることが出来ます。

・配信の最適化

元々はOSの更新プログラムをダウンロードする際、同一ネットワークに接続している端末間でデータを共有し、帯域圧迫を防ぐための技術ですが、Intuneではアプリのダウンロード時にもこの仕組みを使用しています。

設定によっていくつかのモードを選ぶことが出来ますが、基本的に同一ネットワークに接続しているデバイス間で同じデータをダウンロードしないように、ダウンロードデータを共有することが出来ます。

最近は高速な回線を使用している環境が増えましたが、支店や拠点等、比較的細い回線を使用している環境ではこのような設定が有効になります。

・Defender設定

Microsoft Defenderは基本的なエンドポイント保護である「Microsoft Defenderウィルス対策」以外に

「Microsoft Defenderファイアウォール」

「Microsoft Defender Application Guard」

「Microsoft Defender Exploit Guard」

など、いくつかの保護機能がまとまったものになります。

昨今、業種や会社規模を問わず攻撃が激化している状況ですので、デバイスのセキュリティ対策を向上することは必須となっています。

Windows OSに搭載されているDefenderの各種機能は、攻撃面を減少させることでデバイスへの攻撃対策を強化し、セキュリティを向上することが可能となっています。

・OneDrive設定

OneDriveを組織ストレージとして使用している場合、ユーザーのOneDrive領域に「デスクトップ」「マイドキュメント」「マイピクチャ」を自動同期することが出来ます。

その際、個人用をブロックし、指定した組織ストレージのみにバックアップするように設定することが可能となっています。

突然発生するPC故障であっても、代替PCに個人データが素早く同期され、業務停止時間を最小限に抑えることが可能となります。

・Windows Update制御

Windows Update制御は構成プロファイルではなく、更新リングの制御プロファイルとして提供されています。

月次で提供される品質更新プログラム、年1回提供される機能更新プログラムに対して、それぞれどのようにインストールするのかを設定する仕組みです。

特に脆弱性修正等が提供される品質更新プログラムは迅速に適用することをお勧めすることが多いです。

以上、いくつか例を挙げてみましたが、これらの設定は一部にすぎず、Intuneから配布出来る設定は多種多様に存在しています。

しかし、すべての設定が構成プロファイルのメニューにあるわけではありません。

構成プロファイルにない設定の配布方法

では、構成プロファイルのメニューにない設定はどのように配布すればよいのでしょうか。

それを説明するためには、構成プロファイルがどのような仕組みでデバイスに適用されるかを理解する必要があります。

まず、構成プロファイルはXMLファイル（※）でデバイスに対して配布されます。

（※）XMLファイル：Extensible Markup Language（拡張可能なマークアップ言語）で記述されたファイル形式のこと。データを保存、転送、共有するために広く使用されている。

デバイスでは配布されたXMLファイルの内容に基づき、Windows OSの場合はWindows Configuration Service Providers（CSP）という機能を使用してデバイスに対して設定を適用します。

CSPは、Windowsの構成設定を管理するためのテクノロジーであり、非常に細かい制御が出来るようになっています。

Intuneの構成プロファイルの標準設定では、これらの一部を提供しているにすぎません。

構成プロファイルの標準設定にないCSP設定については、カスタムポリシーとして提供することが可能となっています。

例えば、ファイルの拡張子とアプリの紐づけ設定は構成プロファイルの標準設定にはありませんが、CSPでは定義されています。

このような設定は、別途カスタムプロファイルとして配布することが可能です。

補足①｜GPOからの移行

また、IntuneではオンプレAD（オンプレミス上のActive Directry（※））のGPO（※）で使用していた管理用テンプレート（ADMXファイル（※））をインポートして使用することも可能となっています。

（※）Active Directry：Windowsネットワーク上でのアイデンティティ、セキュリティ、およびリソース管理を行うためのデータベースサービスのこと。

（※）GPO（Group Policy Object）：Active Directory（AD）の管理機能の一つで、ADに登録されたコンピューターやユーザーアカウントに対して一元的に設定を行うための機能。

（※）ADMXファイル：Windowsのグループポリシー設定のテンプレートファイルのことで、ユーザーインターフェイスやレジストリエントリー、セキュリティ設定、Windows機能などの設定項目が含まれている。

さらに、GPOからの移行という観点で言うと、グループポリシー分析という機能がプレビューリリース（2023年4月時点）されており、オンプレADのGPO設定をIntuneに取り込むことが出来るかをチェックすることも可能となっています。

最近ではオンプレADからAzure ADとIntuneによる管理に切り替えるお客様も多くおられ、上記の機能を使用することでオンプレADで使用していたGPOの移行が比較的スムーズに行えるようになってきています。

補足②｜PowerShellスクリプトの配布

IntuneからはPowerShellスクリプトを配布することも可能となっていますので、より高度な設定を配布することも可能です。

PowerShellスプリクトとはWindowsを制御するためのPowerShellコマンドを実行するための命令の集まりです。

PowerShellスプリクトを配布することで、ユーザーが意識することなく自動処理や設定変更が可能なため、より高度な設定を配布することができます

IntuneからのOS設定の注意点

このように、Intuneから配布出来るOS設定は多種多様なものがあります。

しかし、設定が複雑になればなるほど管理が煩雑になるということに注意が必要です。

構成プロファイルはセキュリティグループに対して割り当てて使用しますので、どのグループにどの設定を割り当てるかはきちんと管理、把握しておく必要があります。

管理の考え方はいくつかありますが、セキュリティ設定とガバナンス設定は分けるべきだと筆者は考えています。

・セキュリティ設定

セキュリティ面で言うと、ゼロトラストの考えから、組織内でのセキュリティ設定は一部の例外を除き一律であることが望ましいです。

管理者や上位職位、組織機密データを扱うメンバーにはより高度なセキュリティ設定を施すべきだと考えます。

・ガバナンス設定

セキュリティ設定とは別に、企業文化や部署単位で必要なガバナンス設定は分けておいたほうが管理しやすいです。

ガバナンス設定は役割や目的に合わせて複数作成しておき、それらを組み合わせて使用することが望ましいでしょう。

どの設定が誰に適用されているかをきちんと把握する必要が出てきますので、出来る限りシンプルな設定にするとよいと考えます。

これは管理の考えの一例ですが、参考にしてみてください。

まとめ

今回は、Intuneを使用して、OS設定でどんなことができるのかについて解説しました。

Intuneから配布出来るOS設定は多種多様なものがあり、設定が複雑になるほど管理が煩雑になるというデメリットがありますが、Intuneを使用することで、デバイスを一元的に管理し、効率的に設定を行うことができることができます。

次回はアプリ配布について解説したいと思います。

どんなアプリが配布でき、出来ない場合はどのような工夫が出来るか等のTipsも説明しますので

楽しみにしていてください。

また、アイエスエフネットではWindows Autopilot、IntuneなどMicrosoft365の導入支援を行っています。

Windows AutopilotとIntuneによるＰＣキッティングの自動化について

ご興味をお持ちの方はぜひお問い合わせください。

注）

本ブログでは内容を分かりやすくするため、技術的な詳細を省いている部分が多々あります。

読む方によっては物足りないと思うかもしれませんが

現在定期的にIntuneセミナーを開催していますので、そちらにもご参加いただけると幸いです。

■関係記事

・Windows AutopilotとIntuneによるPCキッティングのメリットを解説！

・Windows Autopilotのライセンスは何が必要？利用要件とIntuneの配布機能についても解説！

・キッティング効率化にはWindows AutopilotとIntune！アプリ配布から自動化の制限まで紹介