Microsoft Intune は、デバイスとアプリの管理に役立つクラウドベースのサービスです。 organizationに対して Microsoft Intune で実行できる操作の詳細については、「Microsoft Intune とは」を参照してください。
この記事では、Intune の展開を開始する手順の概要について説明します。
ヒント
この記事のコンパニオンとして、Microsoft 365 管理センターにはいくつかのセットアップ ガイダンスもあります。 このガイドでは、環境に基づいてエクスペリエンスをカスタマイズします。 この展開ガイドにアクセスするには、Microsoft 365 管理センターの Microsoft Intune セットアップ ガイドにアクセスし、グローバル リーダー (少なくとも) でサインインします。 これらの展開ガイドと必要なロールの詳細については、「Microsoft 365 および Office 365 製品の高度な展開ガイド」を参照してください。
サインインせずに自動セットアップ機能をアクティブ化せずにベスト プラクティスを確認するには、 M365 セットアップ ポータルにアクセスします。
開始する前に
Intune の展開を計画するには、 計画ガイドを使用して Microsoft Intune に移動します。 個人のデバイス、ライセンスに関する考慮事項、ロールアウト 計画の作成、ユーザーへの変更の伝達などについて説明します。
次の記事は、適切なリソースです。
Intune の展開に必要なライセンスとその他の前提条件を決定します。 次の一覧では、最も一般的な前提条件をいくつか示します。
Intune サブスクリプション: 一部の Microsoft 365 サブスクリプションに含まれています。 また、デバイス、アプリ、ユーザーを管理するための Web ベースのコンソールである Microsoft Intune 管理センターにもアクセスできます。
Microsoft 365 アプリ: Microsoft 365 に含まれ、Outlook や Teams などの生産性アプリに使用されます。
Microsoft Entra ID: Microsoft Entra ID は、ユーザー、グループ、デバイスの ID 管理に使用されます。 Intune サブスクリプションと、場合によっては Microsoft 365 サブスクリプションが付属しています。
Microsoft Entra ID P1 または P2 は余分なコストがかかる可能性があるため、条件付きアクセス、多要素認証 (MFA)、動的グループなど、組織で一般的に使用されるより多くの機能が提供されます。
Windows Autopilot: 一部の Microsoft 365 サブスクリプションに含まれています。 Windows Autopilot では、現在サポートされているバージョンの Windows クライアント デバイスに対する最新の OS 展開が提供されます。
プラットフォーム固有の前提条件: デバイスのプラットフォームによっては、その他の要件があります。
たとえば、iOS/iPadOS デバイスと macOS デバイスを管理する場合は、Apple MDM プッシュ証明書と場合によっては Apple トークンが必要です。 Android デバイスを管理する場合は、管理対象の Google Play アカウントが必要になる場合があります。 証明書認証を使用する場合は、SCEP または PKCS 証明書が必要になる場合があります。
詳細については、次を参照してください:
Microsoft Intune の展開と管理を成功させるために必要な ネットワーク エンドポイント を確認して決定します。 マネージド デバイスと Intune サービス間の通信を許可するように構成する必要がある IP アドレス、ポート設定、ドメイン名を確認します。
手順 1 - Intune を設定する
この手順では、次の手順を実行します。
✅ デバイスがサポートされていることを確認し、Intune テナントを作成し、グループ & ユーザーを追加し、ライセンスを割り当てます。
この手順では、Intune を設定し、ユーザー ID、アプリ、デバイスを管理するための準備をすることに重点を置いています。 Intune では、ドメイン、ユーザー、グループなど、Microsoft Entra ID の多くの機能が使用されます。
詳細については、「 手順 1 - Microsoft Intune を設定する」を参照してください。
手順 2 - アプリを追加して保護する
この手順では、次の手順を実行します。
✅Intune に登録するデバイスで、デバイスに必要なアプリのベースラインを作成し、登録中にこれらのアプリ ポリシーを割り当てます。 追加のセキュリティが必要なアプリでは、アプリ保護ポリシーも使用します。
✅Intune に登録しないデバイスでは、アプリ保護ポリシーと多要素認証 (MFA) を使用します。
- アプリ保護ポリシーは、個人のデバイス上のorganizationデータを保護するのに役立ちます。
- MFA は、承認されていないアクセスからorganizationのデータを保護するのに役立ちます。
詳細については、「 手順 2 - Intune を使用してアプリを追加、構成、保護する」を参照してください。
すべてのorganizationには、デバイスにインストールする必要があるアプリの基本セットがあります。 ユーザーがデバイスを登録する前に、Intune を使用してこれらのアプリをデバイスに割り当てることができます。 登録中に、アプリ ポリシーが自動的にデプロイされます。 登録が完了すると、アプリがインストールされ、使用する準備が整います。
必要に応じて、デバイスを登録し、アプリを割り当てることができます。 それはあなたの選択です。 次回ユーザーが新しいアプリをチェックすると、使用可能な新しいアプリが表示されます。
自分の個人用デバイスを持つユーザーがorganizationリソースにアクセスする場合は、少なくともモバイル アプリケーション管理 (MAM) を使用してorganization データにアクセスするアプリを保護する必要があります。 Outlook、Teams、SharePoint、およびその他のアプリの MAM ポリシーを作成できます。 Microsoft Intune 計画ガイドには、個人用デバイスの管理に関するいくつかのガイダンスがあります。
注:
MFA は、Microsoft Entra テナントで有効にする必要があるMicrosoft Entra ID の機能です。 次に、アプリの MFA を構成します。 詳細については、次を参照してください:
手順 3 - コンプライアンスを確認し、条件付きアクセスを有効にする
この手順では、次の手順を実行します。
✅デバイスに必要なコンプライアンス ポリシーのベースラインを作成し、登録中にこれらのコンプライアンス ポリシーを割り当てます。
✅ 条件付きアクセスを有効 にして、コンプライアンス ポリシーを適用します。
詳細については、「 手順 3 – コンプライアンス ポリシーの計画」を参照してください。
Intune などの MDM ソリューションでは、デバイスが満たす必要があるルールを設定し、これらのルールのコンプライアンス状態を報告できます。 これらの規則はコンプライアンス ポリシーと呼ばれます。 コンプライアンス ポリシーと条件付きアクセスを組み合わせる場合は、デバイスがorganizationのデータにアクセスする前に、特定のセキュリティ要件を満たす必要があります。
ユーザーが Intune にデバイスを登録すると、登録プロセスでコンプライアンス ポリシーを自動的に展開できます。 登録が完了すると、管理者はコンプライアンスの状態をチェックし、ルールを満たしていないデバイスの一覧を取得できます。
必要に応じて、コンプライアンスを確認する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックでは、コンプライアンス ポリシーが割り当てられます。
注:
条件付きアクセスは、Microsoft Entra テナントで有効にする必要があるMicrosoft Entra ID の機能です。 その後、ユーザー ID、アプリ、デバイスの条件付きアクセス ポリシーを作成できます。 詳細については、次を参照してください:
手順 4 - デバイス機能を構成する
この手順では、次の手順を実行します。
✅有効またはブロックする必要があるセキュリティ機能とデバイス機能のベースラインを作成します。 登録中にこれらのプロファイルを割り当てます。
詳細については、「手順 4 - デバイス構成プロファイルを作成してデバイスをセキュリティで保護し、organization リソースにアクセスする」を参照してください。
organizationには、構成する必要がある、またはブロックする必要があるデバイスとセキュリティ機能の基本セットを含めることができます。 これらの設定は、デバイス構成とエンドポイント セキュリティ プロファイルに追加されます。 Microsoft では、登録時にキー セキュリティとデバイス構成ポリシーを割り当てることをお勧めします。 登録が開始されると、デバイス構成プロファイルが自動的に割り当てられます。 登録が完了すると、これらのデバイスとセキュリティ機能が構成されます。
必要に応じて、構成プロファイルを作成する前にデバイスを登録できます。 それはあなたの選択です。 次の Intune チェックで、プロファイルが割り当てられます。
Microsoft Intune 管理センターでは、デバイス プラットフォーム (Android、iOS/iPadOS、macOS、Windows) に基づいてさまざまなプロファイルを作成できます。
次の記事は、適切なリソースです。
- デバイス プロファイルを使用してデバイスに機能と設定を適用する
- 設定カタログを使用して設定を構成する
- Microsoft Intune でエンドポイント セキュリティの管理
- Windows セキュリティ ベースライン
手順 5 - デバイスを登録する
この手順では、次の手順を実行します。
✅Intune にデバイスを登録します。
詳細については、「 手順 5 - 登録ガイダンス: Microsoft Intune にデバイスを登録する」を参照してください。
デバイスを完全に管理するには、デバイスを Intune に登録して、条件付きアクセス ポリシー、アプリ ポリシー、デバイス構成ポリシー、および作成したセキュリティ ポリシー & コンプライアンスを受け取る必要があります。 管理者は、ユーザーとデバイスの登録ポリシーを作成します。 各デバイス プラットフォーム (Android、iOS/iPadOS、Linux、macOS、および Windows) には、さまざまな登録オプションがあります。 環境、シナリオ、デバイスの使用方法に最適なものを選択します。
選択した登録オプションに応じて、ユーザーは自分自身を登録できます。 または、登録を自動化して、ユーザーが自分のorganization アカウントを使用してデバイスにサインインするだけで済みます。
デバイスが登録されると、デバイスにはセキュリティで保護された MDM 証明書が発行されます。 この証明書は Intune サービスと通信します。
プラットフォームによって登録要件が異なります。 次の記事は、プラットフォーム固有のガイダンスなど、デバイス登録の詳細を確認するのに役立ちます。
Configuration Manager を使用したクラウド アタッチ
Microsoft Configuration Managerは、オンプレミスのWindows Server、デバイス、アプリ、データを保護するのに役立ちます。 クラウドとオンプレミスのエンドポイントの組み合わせを管理する必要がある場合は、クラウドでConfiguration Manager環境を Intune にアタッチできます。
Configuration Managerを使用する場合は、オンプレミス デバイスをクラウド接続する手順が 2 つあります。
テナントアタッチ: Intune テナントをConfiguration Manager展開に登録します。 Configuration Managerデバイスは、Microsoft Intune 管理センターに表示されます。 これらのデバイスでは、Web ベースの Intune 管理センターを使用して、アプリのインストールやWindows PowerShellスクリプトの実行など、さまざまなアクションを実行できます。
共同管理: Configuration Managerと Microsoft Intune を使用して Windows クライアント デバイスを管理します。 Configuration Managerは一部のワークロードを管理し、Intune は他のワークロードを管理します。
たとえば、Configuration Managerを使用して Windows 更新プログラムを管理したり、Intune を使用して条件付きアクセス ポリシー & コンプライアンスを管理したりすることができます。
現在Configuration Managerを使用している場合は、テナントアタッチを通じて即時の値を取得し、共同管理を通じてより多くの価値を得ることができます。
organizationに適した Microsoft Intune のセットアップに関するガイダンスについては、「展開ガイド: Microsoft Intune のセットアップまたは移行」を参照してください。