次の方法で共有

Microsoft Intune の新機能

週ごとの Microsoft Intune の新機能について説明します。

次の情報も読むことができます。

注:

毎月の更新プログラムのロールアウトには最大 3 日かかる場合があり、次の順序になります。

  • 1 日目: アジア太平洋 (APAC)
  • 2 日目: ヨーロッパ、中東、アフリカ (EMEA)
  • 3 日目: 北米
  • 4 日目以降: 政府機関向け Intune

一部の機能は数週間にわたってロールアウトされ、最初の週にすべての顧客が利用できない場合があります。

今後の Intune 機能リリースのリストについては、「Microsoft Intune の開発中の機能」を参照してください。

Windows Autopilot ソリューションの新しい情報については、次を参照してください。

RSS を使用して、このページが更新されたときに通知を受け取ることができます。 詳細については、「ドキュメントの 使い方」を参照してください。

2025 年 9 月 29 日の週

アプリ管理

Win32 アプリをインストールするときの PowerShell スクリプトのサポート

コマンド ラインを使用する代わりに、PowerShell スクリプトをアップロードして Enterprise App Catalog アプリをインストールできるようになりました。 このオプションを使用すると、アプリをデプロイする際の柔軟性が高くなります。

詳細については、「 Microsoft Intune にエンタープライズ アプリ カタログ アプリを追加する」を参照してください。

適用対象:

  • Windows

古いバージョンの Android Intune ポータル サイト アプリのサポート終了

5.0.5421.0 より前のバージョンの Android Intune ポータル サイトのサポートは、2025 年 10 月 1 日に終了しました。 古いバージョンのアプリを実行しているデバイスでは、登録状態が維持されなくなり、非準拠としてマークされる可能性があります。

デバイスの登録と準拠を維持するには、ユーザーは Google Play ストアから最新バージョンのポータル サイトをダウンロードする必要があります。

適用対象:

  • Android Enterprise

2025 年 9 月 22 日の週

デバイスのセキュリティ

Intune でのSecurity Copilotの脆弱性修復エージェントの更新 (パブリック プレビュー)

Security Copilotの脆弱性修復エージェントが更新され、進行中の制限付きパブリック プレビューに次の変更が追加されました。

  • Microsoft Defenderのロールベースのアクセス制御 (RBAC) - RBAC ガイダンスが更新され、RBAC がMicrosoft Defender XDRでどのように実装されるかが反映されました。 統合 RBAC (サービス間で 1 つのアクセス許可セット) を使用する構成と、きめ細かい RBAC (サービスごとにカスタマイズされたアクセス許可) に関するガイダンスが提供されるようになりました。

    きめ細かい RBAC 構成を使用する場合は、エージェントの ID のスコープがMicrosoft Defenderに設定され、関連するすべてのデバイス グループが含まれるようにします。 エージェントは、割り当てられたスコープ外のデバイスにアクセスしたり、レポートしたりできません。

  • エージェント ID – エージェントID として使用するアカウントを手動で変更できるようになりました。 [エージェントの 設定] タブで、[ 別の ID の選択 ] を選択してサインイン プロンプトを開きます。 新しいアカウントを入力して認証します。 新しいアカウントに、Microsoft Defender脆弱性修復データにアクセスするための十分なアクセス許可があることを確認します。

    エージェントの ID に対する変更は、エージェントの実行履歴には影響しません。これは引き続き使用可能です。

これらの更新プログラムにより、プレビューで脆弱性修復エージェントを使用する組織の柔軟性と制御が向上します。 このエージェントの詳細については、「Microsoft Intune のSecurity Copilotの脆弱性修復エージェント」を参照してください。

2025 年 9 月 15 日の週 (サービス リリース 2509)

デバイス構成

ポリシーの種類でデバイス構成プロファイルをフィルター処理する

Intune 管理センター >Devices>Configuration>Policies タブでは、[ フィルターの追加] 機能を使用して、プラットフォーム、スコープ タグ、最終変更日でポリシーの一覧をフィルター処理できます。

ポリシーの種類 は、[ フィルターの追加] 機能で使用できます。 そのため、設定カタログ、カスタム、デバイス制限、その他のポリシーの種類など、ポリシーの種類によってポリシーの一覧をフィルター処理できます。

既存のプロファイルの表示と監視の詳細については、「 Microsoft Intune でのデバイス構成ポリシーの表示と監視」を参照してください。

Apple の設定カタログで使用できる新しい日の 0 の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

[マネージド設定] > 既定のアプリケーション:

  • 通話
  • メッセージング

制限事項:

  • 許可されているカメラ制限バンドル ID

Web > Web コンテンツ フィルター:

  • Safari 履歴の保持が有効
macOS

認証>拡張可能なシングル サインオン Kerberos:

  • プラットフォーム SSO TGT を使用する

Microsoft Defender:

  • Microsoft Defender カテゴリは、新しい設定で更新されます。 利用可能な macOS Defender 設定の詳細については、「Microsoft Defender - ポリシー」を参照してください。

制限事項:

  • 通話録音を許可する
  • ライブ ボイスメールを許可する

Web > Web コンテンツ フィルター:

  • Safari 履歴の保持が有効

Android Enterprise 用テンプレートと設定カタログの両方で使用できる設定

テンプレートでのみ使用できる一部の設定は、設定カタログでもサポートされるようになりました。

設定カタログには、デバイス ポリシーで構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

新しい設定カタログ ポリシーを作成するには、デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類のカタログに移動します。

設定カタログには、次の設定があります。

アプリケーション:

  • 不明なソースからのインストールを許可する
  • アプリの自動更新 (仕事用プロファイル レベル)

全般:

  • ローミング データ サービスをブロックする

  • Bluetooth構成をブロックする

  • アクセス ポイント Wi-Fi 構成をブロックする

  • 既定のアクセス許可ポリシー

  • カメラへのアクセスをブロックする

  • 開発者設定へのアクセスを許可する

  • NFC を使用してアプリからのビーム データをブロックする (仕事用プロファイル レベル)

    この設定は A10 では非推奨です。 新しいデバイスでは引き続き正しく構成されますが、この機能は使用できないため、効果はありません。

  • 出荷時のリセットをブロックする

  • テザリングとホットスポットへのアクセスをブロックする

  • ボリュームの変更をブロックする

    この設定は、仕事用プロファイルを持つ企業所有のデバイスに正常に適用されているように表示されますが、効果はありません。

システム セキュリティ:

  • アプリで脅威スキャンを要求する
  • [共通条件モードが必要]

ユーザーとアカウント:

  • ユーザーは資格情報を構成できます (仕事用プロファイル レベル)
  • アカウントの変更をブロックする

これらの設定の詳細については、「 Android Intune の設定カタログ設定の一覧」を参照してください。

適用対象:

  • Android Enterprise

デバイス管理

デバイス カテゴリ管理では、マルチ管理承認がサポートされます

Intune デバイス カテゴリでは、マルチ管理承認がサポートされます。 [複数管理承認] が有効になっている場合、新しいカテゴリの作成、編集、削除など、デバイス カテゴリの変更には、適用前に 2 番目の管理者が変更を承認する必要があります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。

複数の管理承認の詳細については、「 Intune で複数の管理承認を使用する」を参照してください。

Android Enterprise 設定カタログの新しいプライベートスペースと USB アクセス設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

新しい設定 (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ) があります。

  • プライベート空間をブロックする: True に設定すると、ユーザーはデバイスでプライベートスペースを作成または使用できなくなります。 既存のプライベートスペースはすべて削除されます。

    適用対象:

    • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)

  • USB アクセス: 管理者は、USB 経由で転送できるファイルやデータを選択できます。 管理者がファイル転送をブロックする場合、ファイルのみが転送されないようにブロックされます。 他の接続は、マウスのように許可されます。 管理者が USB データ転送をブロックすると、すべてのデータがブロックされます。

    適用対象:

    • 仕事用プロファイルを持つ Android Enterprise 企業所有デバイス (COPE) (職場プロファイル レベル)
    • 会社所有 Android Enterprise フル マネージド (COBO)
    • 会社所有 Android Enterprise 専用デバイス (COSU)

設定カタログで構成できる既存の設定の一覧については、Intune 設定カタログ の Android Enterprise デバイス設定の一覧を参照してください。

Intune データを探索するための新しいプロンプト

Intune のMicrosoft Copilotを使用して、自然言語を使用して Intune データに関連する新しいプロンプトを調べることができます。 次の新しいプロンプトを使用して、次のデータを表示します。

要求の入力を開始すると、要求に最も一致するプロンプトの一覧が表示されます。 さらに多くの候補を入力し続けることもできます。

各クエリは、結果を理解し、提案を提供するのに役立つ Copilot の概要を返します。 この情報を使用すると、次のことができます。

  • このグループにアプリとポリシーをターゲットにできるように、結果からグループにデバイスまたはユーザーを追加します。
  • クエリの例をフィルター処理して、ニーズに合った要求を検索またはビルドします。

詳細については、「 自然言語を使用して Intune データを探索し、アクションを実行する」を参照してください。

Intune パートナー ポータルでの Intel vPro Fleet Services の統合

Microsoft Intune は Intel vPro Fleet Services と統合され、ハードウェア レベルのリモート管理が Intune エクスペリエンスに直接取り込まれます。 このソリューションにより、オペレーティング システムが応答しない場合やデバイスの電源がオフになっている場合でも、IT 管理者は Intel vPro デバイスを安全に管理、回復、トラブルシューティングできます。 Microsoft Entra ID シングル サインオンでは、追加のインフラストラクチャやライセンスを必要とせずに、チームは認証されたアクセス権を取得します。

主な機能は次のとおりです。

  • Intel Active Management Technology (AMT) を使用したハードウェア レベルの BIOS と OS の回復
  • Intune 内の一元化されたワークフロー
  • セキュリティとアクセス制御の強化
  • Intel vPro デバイスとの広範な互換性 (2018 以降)

この統合により、エンドポイント管理が簡素化され、運用効率が向上し、さまざまなデバイス フリートをサポートするようにスケーリングされます。

デバイス インベントリ (以前のリソース エクスプローラー)

[Windows デバイスの監視] の [リソース エクスプローラー] ウィンドウが [デバイス インベントリ] と呼ばれるようになりました。 名前のみが変更されました。エクスペリエンスとデータは変わりません。

Intune ドキュメントと Intune 管理センターの参照は、新しい名前を反映するように更新されました。

適用対象:

  • Windows

注:

テナントアタッチを介してConfiguration Managerデータを表示する [リソース エクスプローラー] ウィンドウには、元の名前が引き続き保持されます。

Microsoft Intune 用 Copilot の新機能

  • Copilot Chatへのアクセスが容易 - Copilot Chatは Intune 管理センター ヘッダーに直接埋め込まれます。 そのため、IT 管理者は管理センターの任意の画面からCopilot Chatにアクセスできます。 この機能は、管理者がより迅速な分析情報とサポートを得るのに役立ちます。

  • Copilot Chatを使用したコンテキスト対応の会話 - 入力すると、動的プロンプト ボックスにリアルタイムの候補が表示され、求める内容に関連するプロンプトが推奨されます。 デバイスのトラブルシューティング、ポリシーの管理、Windows 365機能の探索などを行うことができます。 詳細については、Microsoft ドキュメントに直接アクセスすることもできます。

    Copilot Chatは会話の履歴を保持し、管理センターを移動してもコンテキストを認識したままです。 この継続性は、繰り返しプロンプトを最小限に抑えるのに役立ちます。

  • Windows 365 クラウド PCのサポートの拡張 - この一般公開更新プログラムにより、Copilot はWindows 365 クラウド PC管理をサポートするようになりました。 IT 管理者は、ライセンスの状態、接続の品質、構成の詳細、パフォーマンス メトリックなどの重要な情報にアクセスできます。 この機能により、管理者は Intune 管理センターからクラウド PC を直接監視および管理しやすくなります。

Intune の Copilot の詳細と作業を開始するには、「Intune でのMicrosoft Copilot」を参照してください。

Intune では、最小バージョンとして iOS/iPadOS 17.x がサポートされています

Apple は iOS 26 と iPadOS 26 をリリースしました。 このリリースでは、Microsoft Intune (Intune ポータル サイトとアプリ保護ポリシー (APP、MAM とも呼ばれます) を含む) で、iOS/iPadOS 17 以降が必要になりました。

この変更の詳細については、「 変更の計画: Intune は iOS/iPadOS 17 以降のサポートに移行しています」を参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 詳細については、 ユーザーレス デバイスでサポートされている iOS/iPadOS バージョンと許可されている iOS/iPadOS バージョンのサポート ステートメントに関するページを参照してください。

適用対象:

  • iOS/iPadOS

Intune では、macOS 14.x が最小バージョンとしてサポートされています

Apple は macOS 26 (Tahoe) をリリースしました。 このリリースでは、Microsoft Intune、ポータル サイト アプリ、Intune MDM エージェントに macOS 14 (Sonoma) 以降が必要になりました。

この変更の詳細については、「 変更の計画: Intune は macOS 14 以降のサポートに移行しています」を参照してください。

注:

自動デバイス登録 (ADE) を使用して登録された macOS デバイスには、共有使用のために少し微妙なサポート ステートメントがあります。 詳細については、 サポート ステートメントに関するページを参照してください。

サポートされている OS バージョンの一覧については、「 Intune でサポートされているオペレーティング システムとブラウザー」を参照してください。

適用対象:

  • macOS

デバイスのセキュリティ

新しいセキュリティ ベースライン更新エクスペリエンス

セキュリティ ベースラインの最新バージョンの Intune セキュリティ ベースライン更新エクスペリエンスが更新されました。 この変更により、2023 年 5 月以降に作成されたセキュリティ ベースラインを同じベースラインのより新しいバージョンに更新すると、更新されたベースラインを自動的に構成するのに役立つ 2 つのオプションが用意されました。

  • カスタマイズを保持する – このオプションを使用すると、Intune は、新しいベースライン テンプレートにアップグレードする元のベースラインからのすべての設定のカスタマイズを適用します。 その結果、新しいベースライン インスタンスは、organizationの特定の変更をすべて保持 (含む) します。
  • カスタマイズを破棄する – このオプションを使用すると、Intune は新しいベースライン バージョンを使用する新しい "既定" ベースライン インスタンスを作成します。 そのベースラインの各設定ではベースラインの既定値が使用され、設定のカスタマイズは自動的に適用されません。

どちらのオプションでも、最新のベースライン バージョンを使用する、そのベースラインの新しいプロファイル インスタンスに決定が適用されます。 この新しいプロファイルには、元のスコープ タグや割り当ては含まれません。この割り当ては、新しいプロファイルの作成後に追加できます。 これにより、更新されたプロファイルが割り当てられ、デバイスへの最新のベースライン バージョンのデプロイが開始される前に、必要に応じて追加の設定を構成する時間が得られます。 一方、元のベースラインは変更されず、アクティブなままになりますが、設定構成は読み取り専用になります。

詳細については、「Microsoft Intune でセキュリティ ベースライン プロファイルを管理する」の「ベースライン プロファイルを最新バージョンに更新 する」を参照してください。

ポータル サイトでは、Purebred の新しい派生資格情報エクスペリエンスがサポートされます

Apple は iOS 26 と iPadOS 26 をリリースしました。 この更新プログラムでは、Purebred (バージョン 3) によって、新しく強化された派生資格情報エクスペリエンスが導入されます。 0 日目のサポートの一環として、ポータル サイトは Purebred の更新されたワークフローをサポートします。

  • organizationが古いバージョンの Purebred を引き続き使用する予定の場合、最新バージョンのポータル サイトにアップグレードした場合でも、Purebred または ポータル サイト での派生資格情報エクスペリエンスに変更はありません。
  • organizationが新しいバージョンの Purebred にアップグレードする予定の場合は、互換性を確保するためにバージョン 5.2509.0 をポータル サイトに更新してください。

適用対象:

  • iOS/iPadOS

監視とトラブルシューティング

複数のデバイス クエリに関するフィードバックを提供する

複数のデバイス クエリ ページの新しいフィードバック機能を使用して、複数のデバイス クエリに関するフィードバックを送信します。

2025 年 9 月 8 日の週

デバイスのセキュリティ

Microsoft Tunnel for Mobile Application Management for iOS での JavaScript WebSockets のサポート

Microsoft Tunnel for Mobile Application Management (MAM) for iOS では、Web ビューからの JavaScript WebSocket がサポートされるようになりました。 このサポートは、WebSocket に依存するリアルタイム通信を必要とするアプリの通信を向上させるのに役立ちます。

JavaScript WebSocket がサポートされるようになりましたが、Tunnel for MAM iOS では、ネイティブ WebSocket API またはそれらに依存するアプリはサポートされていません。

詳細については、「 Microsoft Tunnel for Mobile Application Management for iOS/iPadOS 管理者ガイド」を参照してください。

2025 年 9 月 1 日の週

デバイス管理

Windows OOBE 中に Windows セキュリティ更新プログラムをインストールするための登録状態ページのサポート

重要

2025 年 9 月 9 日の時点で、この機能は遅れ、可能な限り最適なエクスペリエンスを確実に提供できます。 登録状態ページ (ESP) の新しい設定は、新規および既存の ESP プロファイルの両方で構成できますが、毎月のセキュリティ更新プログラム リリースと新しいユーザー インターフェイスの自動インストールはまだ使用できません。 この投稿は、利用可能になるとすぐに変更されたタイムラインで更新されます。

Windows の既定の既定のエクスペリエンス (OOBE) では、利用可能な最新のセキュリティ更新プログラムがインストールされ、デバイスがセキュリティで保護され、1 日目から最新の状態に保たれるようにします。 Windows OOBE は、Intune および Windows Autopilot シナリオで Intune 登録状態ページ (ESP) 構成を使用して使用されます。 Intune は、これらのセキュリティ更新プログラムの Windows 品質更新プログラムを指します。

この動作の管理に役立つよう、Intune 登録状態ページが更新され、これらの更新プログラムの自動インストールを許可またはブロックするために使用できる新しい設定が追加されました。

新しい設定は、 Windows 品質更新プログラムのインストールです。 Intune の Windows 品質更新プログラムとも呼ばれるこれらのセキュリティ更新プログラムは、Intune と Windows Autopilot によって使用される Windows の既定のエクスペリエンス OOBE の間に既定でインストールされます。

既定では、この設定は、作成するすべての新しい ESP プロファイルで [はい ] に設定されているため、最新のセキュリティ更新プログラムがインストールされます。 以前に作成したすべての ESP プロファイルでは、プロファイルを編集して変更するまで、この設定は [いいえ ] に設定されます。 [いいえ] に設定すると、OOBE は更新プログラムをインストールしません。これにより、内部チームは、プロビジョニングした新しいデバイスへのインストールを許可する前に、更新プログラムをテストする時間を与えることができます。

Intune の登録状態ページの詳細については、「 登録状態の設定ページ」を参照してください。 Windows 品質更新プログラムの詳細については、「 Windows 品質更新プログラム ポリシー」を参照してください。

適用対象:

  • Windows

デバイスのセキュリティ

Security Copilot脆弱性修復 Intune エージェントからのデバイス構成に関する推奨事項

脆弱性に対するorganizationの攻撃面を減らすために、Security Copilot脆弱性修復 Intune エージェントは、報告された脆弱性に関連する設定に対して推奨される構成を提供するようになりました。

推奨される構成は、報告された脆弱性に対する エージェントの提案 を選択した後で確認できます。これにより、[ 推奨されるアクション ] ウィンドウが開きます。 推奨されるアクション ウィンドウには、[構成] という情報の新しいセクション があります

Intune 設定カタログに報告された脆弱性に関連する設定が含まれている場合は、デバイス ポリシーの構成に役立つ情報が [構成] セクションに表示されます。 これらのポリシーは、その脆弱性による将来のリスクを最小限に抑えるのに役立ちます。 保持されるデータには以下が含まれます。

  • Intune 設定カタログ ポリシーを使用して展開できる、現在の脆弱性に関連する設定の一覧。 脆弱性に関連する特定の設定のみが一覧表示されます。
  • 各設定には、推奨される構成が表示されます。
  • 設定の横にある引用アイコンを選択すると、その設定の説明が表示されます。 説明には、設定が表す構成サービス プロバイダー (CSP) のコンテンツへのリンクを含めることもできます。

展開する推奨デバイス構成設定がない場合、[構成] セクションには、推奨設定カタログ ポリシーの構成が使用できないことが示されます。

エージェントの提案、修復ガイダンス、および新しい推奨構成の詳細については、「Microsoft Intune のSecurity Copilotの脆弱性修復エージェントのエージェントの提案」を参照してください。

2025 年 8 月 25 日の週

アプリ管理

マネージド ホーム スクリーンでの Android Enterprise Dedicated Devices のサインインなしのオフライン モードとアプリ アクセス

Android Enterprise 専用デバイス用マネージド ホーム スクリーン (MHS) では、オフライン モードサインインなしのアプリ アクセスという 2 つの新機能がサポートされるようになりました。

  • オフライン モード – デバイスがオフラインであるか、ネットワークに接続できない場合に、ユーザーが指定されたアプリにアクセスできるようにします。 接続が復元されたら、ユーザーにサインインを要求する前に猶予期間を構成できます。
  • サインインなしのアプリ アクセス – ユーザーは、ネットワークの状態に関係なく、MHS のトップ バーを介して MHS サインイン画面から特定のアプリを起動できます。 これは、ヘルプ デスクや緊急ツールなど、すぐに利用できる必要があるアプリに役立ちます。

これらの機能は、Microsoft Entra共有デバイス モードで登録された専用デバイス用に設計されており、デバイス構成ポリシーを使用して構成できます。

適用対象:

  • Android Enterprise 専用デバイス

2025 年 8 月 18 日の週 (サービス リリース 2508)

アプリ管理

Android アプリ構成ポリシーでは、新しい変数値がサポートされます

Intune の Android Enterprise アプリ構成ポリシーで、より多くの変数値がサポートされるようになりました。 新しい値には、アカウント名、デバイス名、従業員 ID、MEID、シリアル番号、シリアル番号の最後の 4 桁が含まれます。

詳細については、「 構成値のサポートされる変数」を参照してください。

適用対象:

  • Android Enterprise

デバイス構成

ユーザー グループとデバイス グループに対するマネージド インストーラーのサポート

マネージド インストーラー ポリシーが更新され、1 つ以上の個別のポリシーを使用して、ユーザーとデバイスの個々のグループを対象とする機能が追加されました。 これまで、マネージド インストーラー ポリシーは、すべての Windows デバイスに適用されるテナント全体の構成でした。 この更新プログラムを使用すると、さまざまなデバイス グループに個別のポリシーを割り当てることができ、柔軟性が向上します。

以前にテナント全体の管理インストーラー ポリシーが有効になっていた場合、そのポリシーは、すべてのデバイスへのグループ割り当てで引き続き使用できます。 この再構成は、以前のテナント全体の構成と同じです。 変換されたポリシーを使用するか、より詳細な制御で新しいポリシーを実装することを選択できます。

マネージド インストーラーの構成と使用の詳細については、「マネージド インストーラーの 概要」を参照してください。

適用対象:

  • Windows

設定カタログの新しい Windows 設定

Intune 設定カタログ には、構成できるすべての設定と、すべて 1 か所に一覧表示されます。 Windows 設定カタログ (デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >プロファイルの種類の設定カタログ) に新しい設定があります。

Microsoft Edge 管理テンプレート ポリシーの更新:

  • v138 - Intune では、次の新しい ADMX に基づくポリシーがサポートされています。

    設定 CSP
    Microsoft Edge>組み込みの AI API の使用をページに許可する BuiltInAIAPIsEnabled
    Microsoft Edge>履歴で AI 強化検索へのアクセスを制御する EdgeHistoryAISearchEnabled
    Microsoft Edge - 既定の設定 (ユーザーはオーバーライドできます)\ ID とサインイン>外部リンクを開くには、既定でプライマリ作業プロファイルを使用する EdgeOpenExternalLinksWithPrimaryWorkProfileEnabled
    Microsoft Edge>ServiceWorker によって制御される URL に対して投機ルール プリフェッチを許可する PrefetchWithServiceWorkerEnabled
    Microsoft Edge>Microsoft Edge で TLS 1.3 早期データが有効かどうかを制御する TLS13EarlyDataEnabled
    Microsoft Edge>組み込みの AI API の使用をページに許可する BuiltInAIAPIsEnabled

    次の従来の設定は非推奨であり、使用しないでください。

    設定 CSP
    Microsoft Edge\ プライベート ネットワーク要求設定 InsecurePrivateNetworkRequestsAllowed
    Microsoft Edge ネットワーク設定>zstd コンテンツ エンコードのサポートを有効にする ZstdContentEncodingEnabled
    Microsoft Edge ネットワーク設定>パブリック Web サイトからユーザーのローカル ネットワーク上のデバイスへの要求をブロックするかどうかを指定 します (非推奨) LocalNetworkAccessRestrictionsEnabled

  • v139 - Intune では、Microsoft Edge に対して次の新しい ADMX に基づくポリシーがサポートされています。

    設定 CSP
    Microsoft Edge>ID とサインイン>アプリ指定のプロファイルを優先して外部リンクを開く EdgeOpenExternalLinksWithAppSpecifiedProfile
    Microsoft Edge>拡張機能>InPrivate モードを使用して移動するためにユーザーが許可する必要がある拡張機能を指定する 必須ExtensionsForIncognitoNavigation
    Microsoft Edge>Microsoft Edge for Business ツール バー Microsoft 365 Copilot Chat表示するかどうかを制御する Microsoft365CopilotChatIconEnabled
    Microsoft Edge>Microsoft Edge for Business Reporting Connectors の構成ポリシー OnSecurityEventEnterpriseConnector
    Microsoft Edge>SwiftShader を使用してソフトウェア WebGL フォールバックを許可する EnableUnsafeSwiftShader

    次の従来の設定は非推奨であり、使用しないでください。

    設定 CSP
    Microsoft Edge><select>要素の新しい HTML パーサー動作を有効にするかどうかを制御します SelectParserRelaxationEnabled
    Microsoft Edge>キーボードフォーカス可能なスクロール機能を有効にする KeyboardFocusableScrollersEnabled

  • 一部の既存のポリシーには、最新のブラウザーの動作と用語を反映した文字列更新プログラムがあります。

OneDrive:

  • トーストとアクティビティ センターのメッセージを無効にして、ユーザーが Microsoft アプリケーションで使用できる既存の資格情報を使用して OneDrive にサインインするよう促 す - この設定を使用すると、IT 管理者は OneDrive で新しいアカウントが検出されないようにし、組織の同期とアクセス制御を適用できます。

管理用テンプレート\Windows コンポーネント\設定の同期:

  • Windows バックアップを有効にする - この設定を使用すると、IT 管理者はWindows バックアップ機能の同期動作を管理できます。 具体的には、このポリシーは、言語設定をバックアップ同期に含めるかどうかを制御します。これにより、組織はバックアップ構成をニーズに合わせて調整できます。

適用対象:

  • Windows

Apple の設定カタログで使用できる新しい日の 0 の設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

宣言型デバイス管理 (DDM) >オーディオ アクセサリ設定:

  • 一時的なペアリングが無効
  • 一時的なペアリングのペアリング解除時間
  • ペアリング解除ポリシー
  • ペアリング解除時間

宣言型デバイス管理 (DDM) > Safari 設定:

  • Cookie を受け入れる
  • 不正使用警告の無効化を許可する
  • 履歴のクリアを許可する
  • JavaScript を許可する
  • プライベート閲覧を許可する
  • ポップアップを許可する
  • [概要の許可]
  • ページの種類
  • ホームページ URL
  • 拡張機能識別子

制限事項:

  • Safari 履歴のクリアを許可する
  • Safari プライベート閲覧を許可する
  • iMessage と FaceTime に対して拒否された ID
  • RCS の拒否された ID
macOS

認証>拡張可能なシングル サインオン Kerberos:

  • プラットフォーム SSO 認証フォールバックを許可する

宣言型デバイス管理 (DDM) > Safari 設定:

  • 履歴のクリアを許可する
  • プライベート閲覧を許可する
  • [概要の許可]
  • ページの種類
  • ホームページ URL
  • 拡張機能識別子

制限事項:

  • Safari 履歴のクリアを許可する
  • Safari プライベート閲覧を許可する

Android 設定カタログの新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

新しい [organization名の非表示] 設定 ([デバイス>管理デバイス>>構成Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ)] があります。 True に設定すると、ロック画面など、エンタープライズ名はデバイスに表示されません。

設定カタログで構成できる既存の設定の一覧については、Intune 設定カタログ の Android Enterprise デバイス設定の一覧を参照してください。

適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)
  • 会社所有 Android Enterprise フル マネージド (COBO)

デバイスの登録

Intune では Ubuntu 22.04 以降がサポートされています

Microsoft Intune と Linux 用 Microsoft Intune アプリでは、Ubuntu 22.04 LTS と Ubuntu 24.04 LTS がサポートされるようになりました。Ubuntu 20.04 LTS のサポートは終了しました。 Ubuntu 20.04 LTS に現在登録されているデバイスは、バージョンがサポートされなくなった場合でも登録されたままです。 Ubuntu 20.04 LTS を実行している場合、新しいデバイスを登録できません。 影響を受ける可能性のあるデバイスまたはユーザーを確認するには、Intune レポートをチェックします。 管理センターで、**Devices **>すべてのデバイス に移動し、Linux で OS をフィルター処理します。 さらに列を追加して、Ubuntu 20.04 LTS を実行しているデバイスをorganization内のユーザーを特定するのに役立ちます。 サポートされている Ubuntu バージョンにデバイスをアップグレードするようにユーザーに通知します。

Linux 登録の詳細については、「 Microsoft Intune の Linux デバイス登録ガイド」を参照してください。

デバイス管理

ワイプ リモート アクションでは、マルチ管理承認がサポートされます

複数管理承認機能を使用する場合は、変更が適用される前に、2 つ目の管理者アカウントで変更を承認する必要があります。

ワイプ リモート アクションでは、マルチ管理承認がサポートされます。 [ワイプ] アクションで複数管理承認を使用して、1 つの管理者アカウントによる未承認または侵害されたリモート アクションのリスクを軽減します。

複数管理承認の詳細については、「Intune でマルチ管理承認を使用する」を参照してください。

組織用 Windows バックアップの構成 (パブリック プレビュー)

Intune 管理者は、組織用 Windows バックアップと呼ばれるパブリック プレビューで新しい機能を構成できます。 この機能を使用すると、organizationのWindows 10またはWindows 11設定をバックアップし、Microsoft Entra参加済みデバイスに復元できます。 バックアップ設定は Microsoft Intune 管理センター設定カタログで構成できますが、デバイスを復元できるテナント全体の設定は、管理センターの [ 登録] で使用できます。 バックアップ設定はパブリック プレビューで使用できるようになりましたが、復元設定は 8 月 26 日からパブリック プレビューで使用できるようになります。

この機能の詳細については、「Microsoft Intune での組織用 Windows バックアップ」を参照してください。

新しい解決ボタンを使用すると、コンプライアンスの修復エクスペリエンスが向上します

Microsoft Intune のデバイス ユーザーの Just-In Time (JIT) コンプライアンス修復エクスペリエンスが改善されました。 Intune は、次のMicrosoft Defenderと共同作業を行いました。

  • 修復手順を表示して学習するために必要なユーザークリックを削除します。
  • [解決] ボタンを追加して、修復までの時間を短縮します。

ユーザーが生産性アプリを開き、Microsoft Defenderが原因で非準拠とマークされていることを確認すると、ユーザーは [解決] を選択できるようになりました。このアクションは、ユーザーをMicrosoft Defenderにリダイレクトします。ここで、Microsoft Defenderはユーザーを修復し、ユーザーを生産性アプリにリダイレクトする手順を実行します。

Microsoft Defenderを使用していない場合でも、条件付きアクセスが有効になっている場合は、ユーザーのエクスペリエンスが向上する可能性があります。 JIT コンプライアンスの修復では、ユーザーは埋め込みフローを実行して、コンプライアンスの状態、コンプライアンス違反の理由、および生産性アプリ内のアクションの一覧を表示します。 このフローにより、追加の手順が不要になり、アプリを切り替える必要がなくなり、認証の数が減ります。

管理者として、JIT 登録とコンプライアンスの修復が既に設定されている場合、アクション 項目はありません。 そうでない場合は、この新しい機能をサポートするように今日設定します。 詳細については、以下を参照してください:

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Avenza Maps for Intune by Avenza Systems Inc.
  • Datasite による Intune 用データサイト (Android)
  • Dialpad by Dialpad, Inc.
  • Dialpad Meetings by Dialpad, Inc.
  • オメガ 365 バイ オメガ 365 Core AS
  • シンフォニー・メッセージング Intune by Symphony Communication Services, LLC
  • Zoho Projects - Intune by Zoho Corporation (Android)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Apple デバイスの宣言型ソフトウェア更新プログラム レポート

Apples 組み込みの宣言型レポート インフラストラクチャを利用する Apple デバイスに対 して、いくつかの新しいソフトウェア更新プログラム レポートを使用できるようになりました。 宣言型レポート インフラストラクチャでは、管理対象デバイスのソフトウェア更新プログラムの状態をほぼリアルタイムで表示できます。 次の Apple ソフトウェア更新プログラム レポートが利用可能になりました。

  • デバイスごとのソフトウェア更新レポート - デバイスごとのソフトウェア更新レポートは、Intune 管理 センターで [デバイス] に移動し、該当するデバイスを選択することで利用できます。 そのデバイスの [デバイスの概要] ウィンドウの [モニター] の下に、 iOS または iPadOS デバイスの iOS ソフトウェア更新プログラム として、macOS デバイスの macOS ソフトウェア更新プログラム として一覧表示されたレポートが表示されます。

    これらのデバイスごとのレポートを使用できるようになったので、以前に利用可能だった macOS デバイスごとの ソフトウェア更新プログラム レポートは非推奨になりました。 非推奨のレポートは管理センターで引き続き使用でき、デバイスの表示中に引き続き使用できますが、今後の更新により、レポートは Intune から削除されます。

  • Apple ソフトウェア更新プログラムの失敗 - この運用レポートを使用すると、管理対象の Apple デバイスフリート全体の詳細を表示できます。 詳細には、更新プログラムのインストールに失敗した理由と、最後のエラーのタイムスタンプが含まれます。 このレポートを見つけるには、管理センターで [デバイス>Monitor] に移動し、レポートの名前を選択してレポートの詳細を表示します。

  • Apple ソフトウェア更新レポート - これは、管理対象の Apple デバイスフリート全体で保留中および現在のソフトウェア更新情報に関する詳細を表示する組織レポートです。 このレポートを見つけるには、管理センターで [レポート>デバイス管理>Apple の更新プログラム] に移動し、[ レポート ] タブを選択し、レポート タイルを選択します。

  • Apple ソフトウェア更新プログラムの概要レポート - Apple ソフトウェア更新プログラムの概要レポートを表示し、管理センターで [レポート>デバイスの管理>Apple の更新プログラム] に移動し、[ 概要 ] タブを選択します。macOS、iOS、iPadOS デバイスからの更新状態のロールアップが表示されます。 これには、各プラットフォームで利用可能な最新の更新プログラムのバージョンと、更新プログラムが利用可能になった日付が含まれます。

次の Apple デバイスでは、これらの新しいレポートがサポートされています。

  • iOS 17 以降
  • iPadOS 17 以降
  • macOS 14 以降

これらのレポートの背後にある変更の詳細については、「 サポート ヒント: Apple ソフトウェア更新プログラムの宣言型デバイス管理に移行する」を参照してください。

役割ベースのアクセス制御

ロールベースのアクセス制御に対するマルチ管理承認のサポート

マルチ管理承認でロールベースのアクセス制御がサポートされるようになりました。 有効にすると、ロールのアクセス許可、管理者グループ、またはメンバー グループの割り当ての変更など、ロールに対する変更が適用される前に、2 番目の管理者が変更を承認する必要があります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。

詳細については、「 Microsoft Intune でのロールベースのアクセス制御」を参照してください。

2025 年 8 月 11 日の週

デバイス管理

プラットフォーム SSO は一般提供 (GA) であり、カスタム TGT もサポートしています

プラットフォーム SSO は、Microsoft Entraの機能であり、macOS デバイスでMicrosoft Entra ID を使用してシングル サインオン (SSO) を有効にします。 Intune 設定カタログを使用して、プラットフォーム SSO を構成し、Intune を使用してプラットフォーム SSO 構成を macOS デバイスに展開できます。

  • Microsoft Entra macOS デバイスのプラットフォーム SSO が一般公開 (GA) であることを発表しました。 このMicrosoft Entra機能の詳細については、「Apple デバイス用の Microsoft Enterprise SSO プラグイン」を参照してください。

  • Microsoft Entraでは、Apple の Kerberos SSO 拡張機能を使用してオンプレミスの Active DirectoryとMicrosoft Entra ID にアクセスするための Kerberos チケット許可チケット (TGT) がサポートされています。

    ポータル サイト バージョン 5.2508.0 以降では、Intune 設定カタログプラットフォーム SSO ポリシーを使用して、TGT を使用してオンプレミスおよびクラウド リソースに対する Kerberos SSO を有効にすることができます。

Intune でプラットフォーム SSO を構成するには、次を参照してください。

適用対象:

  • macOS

デバイスのセキュリティ

Microsoft Tunnel エンドポイントに必要な更新プログラム

Microsoft Tunnel インフラストラクチャの継続的な改善の一環として、 2025 年 3 月 19 日リリースで新しいエンドポイントを導入しました。 新しいエンドポイントを使用していることを確認するには、Microsoft Tunnel を 2025 年 3 月 19 日以降のリリース バージョンにアップグレードする必要があります。 このバージョン以降にアップグレードすると、以前のバージョンにダウングレードすることはできません。 レガシ エンドポイントに依存する以前のリリースはサポートされておらず、サービスの中断を引き起こす可能性があります。 中断のないサービスを続行するには、サポートされている最新のビルドにアップグレードし、サポートされていないバージョンへのロールバックを回避することをお勧めします。

2025 年 7 月 28 日の週

デバイス管理

デバイス管理エンドポイントへの API 呼び出しに対する新しい Microsoft Graph アクセス許可

複数の Microsoft Graph API の呼び出しには、以前にサポートされていたアクセス許可の使用に代わる 2 つの新しい DeviceManagement アクセス許可のいずれかが必要になりました。 次に示す 2 つの新しいアクセス許可と、新しいアクセス許可が置き換えられる元のアクセス許可です。

  • DeviceManagementScripts.Read.All - この新しいアクセス許可は、DeviceManagementConfiguration.Read.All の使用を置き換えます
  • DeviceManagementScripts.ReadWrite.All - この新しいアクセス許可は、DeviceManagementConfiguration.ReadWrite.All の使用を置き換えます

次の Microsoft Graph API 呼び出しへのアクセスには、新しいアクセス許可を使用する必要があります。

  • ~/deviceManagement/deviceShellScripts
  • ~/deviceManagement/deviceHealthScripts
  • ~/deviceManagement/deviceComplianceScripts
  • ~/deviceManagement/deviceCustomAttributeShellScripts
  • ~/deviceManagement/deviceManagementScripts

現在、 DeviceManagementScripts と以前の DeviceManagementConfiguration アクセス許可の両方が機能したままです。 ただし、2025 年 9 月初旬に、一覧に示されている API にアクセスするために古いアクセス許可に依存するツールとスクリプトは機能しなくなります。

詳細については、「Microsoft Entra ID を使用して Microsoft Graph の Intune API にアクセスする方法」を参照してください。

2025 年 7 月 21 日の週 (サービス リリース 2507)

Microsoft Intune Suite

昇格ルールでのワイルドカードに対する Endpoint Privilege Management のサポート

エンドポイント特権管理 (EPM) に定義した昇格規則のファイル名とファイル パスでワイルドカードを使用できるようになりました。 ワイルドカードを使用すると、より広範な照合機能を使用して、より柔軟なルール作成が可能になり、後続のリビジョンで変更される可能性のある名前を持つ信頼されたファイルのファイル昇格が可能になります。

ファイル名の場合、ワイルドカードの使用はファイル名でのみサポートされ、ファイル拡張子ではサポートされません。 疑問符 ? を使用して、ファイル名の任意の時点で 1 文字を置き換え、アスタリスク * を使用して、ファイル名の末尾にある文字の文字列を置き換えることができます。

次に、C:\Users\<username>\Downloads\にある VSCodeUserSetup-arm64-1.99.2.exe という Visual Studio セットアップ ファイルにワイルドカードを使用する例をいくつか示します。

  • ファイル名:

    • VSCodeUserSetup*.exe
    • VSCodeUserSetup-arm64-*.exe
    • VSCodeUserSetup-?????-1.??.?.exe

  • ファイル パス:

    • C:\Users\*\Downloads\

詳細については、「エンドポイント特権管理のポリシーを構成する」の 「昇格ルールで変数を使用 する」を参照してください。

アプリ管理

Intune で新しく利用可能な OEMConfig アプリ

次の OEMConfig アプリが Intune for Android Enterprise で使用できるようになりました。

  • RugGear

OEMConfig の詳細については、「 Microsoft Intune で OEMConfig を使用して Android Enterprise デバイスを使用して管理する」を参照してください。

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

携帯ネットワーク プライベート ネットワーク:

  • 携帯データネットワーク優先
  • CSG ネットワーク識別子
  • データ セット名
  • NR スタンドアロンを有効にする
  • ジオフェンス
  • ネットワーク識別子
  • バージョン番号
macOS

Microsoft Edge:

  • Microsoft Edge カテゴリは、新しい設定で更新されます。 Microsoft Edge で使用可能な macOS 設定の詳細については、「 Microsoft Edge - ポリシー」を参照してください。

デバイス管理

デバイス クリーンアップ ルールのプラットフォーム サポート

クリーンアップ 規則を使用して、非アクティブ、古い、または応答していないと思われるデバイスを自動的にクリーンするように Intune を構成できます。

この機能を使用すると、次のことができます。

  • Windows、iOS/iPadOS、macOS、Android など、プラットフォームごとに個々のデバイス クリーンアップ規則を構成します。
  • 監査ログを使用して、デバイス クリーンアップ ルールによって Intune レポートから隠されているデバイスを確認します。
  • ロールベースのアクセス制御 (RBAC) を使用して、デバイス クリーンアップ規則を作成できるユーザー ロールをカスタマイズします。

詳細については、「 デバイスクリーンアップルール」を参照してください。

デバイスのセキュリティ

パスワード ソリューションを使用したローカル管理者アカウント構成に対する macOS のサポート - GA

macOS 自動デバイス登録 (ADE) プロファイルでは、ローカル管理者とローカル ユーザー アカウントの両方で macOS 12 以降を実行する新しく登録された macOS デバイスと、Microsoft Local 管理 Password Solution (LAPS) のサポートを構成できます。

このサポートにより、次の操作が行われます。

  • macOS 自動デバイス登録 (ADE) プロファイルを使用して、デバイスのローカル管理者とユーザー アカウントを構成できます。 構成すると、この機能は、その登録プロファイルに割り当てられているすべての新しい macOS デバイス登録とデバイス再登録に適用されます。
  • Intune は、デバイスの管理者アカウントのランダム化された一意のセキュリティで保護されたパスワードを作成します。 15 文字の英数字です。
  • Intune では、既定で 6 か月ごとにパスワードが自動的にローテーションされます。
  • 以前に登録したデバイスは、該当する ADE プロファイルを使用して Intune に再登録しない限り影響を受けられません。

アカウントの作成では、プロファイルで次の変数がサポートされます。

  • 管理アカウントのユーザー名:

    • {{serialNumber}} - たとえば、F4KN99ZUG5V2
    • {{partialupn}} - たとえば、John.Dupont
    • {{managedDeviceName}} - たとえば、F2AL10ZUG4W2_14_4/15/2025_12:45PM
    • {{onPremisesSamAccountName}} - JDoe など

  • 管理アカウントのフル ネーム:

    • {{username}} - たとえば、 John@contoso.com
    • {{serialNumber}} - たとえば、F4KN99ZUG5V2
    • {{onPremisesSamAccountName}} - JDoe など

LAPS をサポートするには:

  • 登録プログラムには、管理対象デバイスのパスワードを表示し、そのパスワードをローテーションするためのアクセス許可を管理アカウントに付与できる、2 つの新しいロールベースのアクセス制御アクセス許可があります。
  • 既定では、これらのアクセス許可は組み込みの Intune RBAC ロールの一部ではなく、カスタム ロールを使用して管理者に明示的に割り当てる必要があります。

この新機能のすべての詳細については、「 Microsoft Intune で LAPS を使用して macOS ADE ローカル アカウント構成のサポートを構成する」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Vault CRM by Veeva Systems Inc. (iOS)
  • Workvivo by Workvivo

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2025 年 7 月 14 日の週

デバイス管理

Intune でのエクスペリエンス Microsoft Copilot

Intune でMicrosoft Copilotを使用して、自然言語を使用して Intune データを調べる、結果に対するアクションを実行する、ポリシーと設定を管理する、セキュリティ体制を理解する、デバイスの問題のトラブルシューティングを行う、登録済みの Surface デバイスに関する分析情報を表示できるようになりました。

  • Intune データの探索 - 自然言語を使用して Intune データを探索し、結果に基づいてアクションを実行します。 管理者は、デバイス、アプリ、ポリシー、更新プログラム、コンプライアンスに関する質問など、Intune リソース データに対してクエリを実行できます。 クエリを実行すると、Copilot の概要が結果を理解し、提案を提供するのに役立ちます。 クエリ結果のデバイスまたはユーザーをグループに追加して、アプリとポリシーをターゲットにすることができます。 また、要求に最も一致する例を見つけるためにフィルター処理できるクエリの例や、独自の要求の作成に使用するクエリの例もあります。

    データカバレッジ、クエリ機能、およびアクション可能性は、データの探索方法を改善するにつれて、時間の経過と共に進化します。

    この機能の詳細については、「 自然言語で Intune データを探索し、アクションを実行する」を参照してください。

  • 会話型チャット エクスペリエンス - Intune チャット エクスペリエンスの Copilot を使用して、自然言語を使用してデータを操作し、タスクを管理し、分析情報を取得し、問題のトラブルシューティングを行います。 チャット エクスペリエンスでできることは次のとおりです。

    • ポリシーと設定の管理: Intune で Copilot を使用して既存のポリシーを要約するか、個々のポリシー設定と推奨値の詳細を確認します。
    • デバイスの詳細とトラブルシューティング: Intune で Copilot を使用してデバイスの詳細を取得し、デバイスのトラブルシューティングを行って、インストールされているアプリ、グループ メンバーシップなどのデバイス固有の情報を取得します。
    • デバイス クエリ: Intune でデバイス クエリを使用するときに実行するKusto 照会言語 (KQL) クエリを作成するには、Intune で Copilot を使用します。
    • Endpoint Privilege Management (EPM): Intune で Copilot を使用して、EPM サポート承認済みワークフロー内からの潜在的な昇格リスクを特定します。

  • Surface 管理ポータルのMicrosoft Copilot - Intune のMicrosoft Copilotには、Intune 管理センターのワークスペースである Surface Management Portal が含まれており、登録されている Surface デバイスに関する重要なデータと分析情報がすべて 1 か所にまとめられます。

    • デバイスのコンプライアンス、サポート アクティビティ、適用される保証または保護プランのカバレッジ、炭素排出量の見積もりに関する分析情報を得ることができます。
    • 適用される保証または保護プランの有効期限やアクティブなサポート要求など、各デバイスの状態を監視します。
    • Surface 固有のデバイス管理を 1 つの環境で一元化します。
    • Intune に登録されている Surface デバイスから包括的な情報に自動的にアクセスします。この情報は、ユーザーが初めてサインインしたときに Surface 管理ポータルに送信されます。

    この機能の詳細については、「Microsoft Surface管理ポータルのSecurity Copilot」を参照してください。

監視とトラブルシューティング

デバイス クエリの結果を CSV ファイルにエクスポートする

複数デバイス クエリを実行した後、最大 50,000 件のクエリ結果を CSV ファイルにエクスポートできます。 詳細については、「複数の デバイスに対してデバイス クエリを使用する方法」を参照してください。

2025 年 6 月 23 日の週 (サービス リリース 2506)

アプリ管理

Apple AI 機能に対する Microsoft Intune のサポート

Intune アプリ保護ポリシーには、Apple AI 機能 (Genmojis、ライティング ツール、スクリーン キャプチャ) の新しいスタンドアロン設定があります。 次の Intune App SDK と App Wrapping Tool バージョンを実行するアプリでは、スタンドアロン設定がサポートされています。

  • Xcode 15 バージョン 19.7.12 以降
  • Xcode 16 バージョン 20.4.0 以降

以前は、これらの Apple AI 機能は、アプリ保護ポリシー [ 組織データを他のアプリに送信する ] 設定が [すべてのアプリ] 以外の値に構成されている場合にブロックされていました。

Intune の関連アプリ保護ポリシーの詳細については、「 iOS アプリ保護ポリシーの設定」を参照してください。

ENTERPRISE App Catalog アプリを ESP ブロック アプリの一覧に追加する

Windows Autopilot で Enterprise App Catalog アプリがサポートされるようになりました。 Microsoft Intune Enterprise App Management を使用すると、IT 管理者は Enterprise App Catalog からアプリケーションを簡単に管理できます。 Windows Autopilot を使用すると、エンタープライズ アプリ カタログから、登録状態ページ (ESP) プロファイルとデバイス準備ページ (DPP) プロファイルでブロック アプリとしてアプリを選択できます。 この機能を使用すると、ユーザーがデスクトップにアクセスする前に、それらのアプリを確実に配信できます。

関連情報については、「 登録状態ページの設定」、「 Windows Autopilot デバイスの準備の概要」、および 「Microsoft Intune へのエンタープライズ アプリ カタログ アプリの追加」を参照してください。

適用対象:

  • Windows

Android 16 でのマネージド ホーム スクリーンの向きの変更

Android 16 以降、Android は 600dp 以上のディスプレイ設定を備えたデバイスで画面の向きの適用を停止します。 この変更は、タブレットなどのフォーム ファクターが大きいデバイスのマネージド ホーム スクリーン (MHS) に影響します。

これらの Android 16 デバイスでは、設定した MHS 設定ではなく、デバイスの向き設定によって方向が決定されます。

Android 16 の変更の詳細については、「 動作の変更: Android 16 以降を対象とするアプリ (Android Web サイトを開く)」を参照してください。

適用対象:

  • Android Enterprise

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定カタログを 使用してポリシーを作成する」を参照してください。

設定カタログに新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

マネージド設定:

  • アイドル再起動許可
macOS

認証>拡張可能なシングル サインオン (SSO):

  • 構成証明でデバイス識別子を許可する

Microsoft Edge:

  • Microsoft Edge カテゴリには、何百もの新しい設定があります。 使用可能な macOS Edge 設定の詳細については、「 Microsoft Edge - ポリシー」を参照してください。

Apple は macOS 15.4 の識別ペイロードを非推奨にしました。

Android Enterprise 設定カタログの新しいブロック Bluetooth設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

新しいブロック Bluetooth設定 (デバイス>管理デバイス>Configuration>Create>New policy>Android Enterprise for platform >プロファイルの種類の設定カタログ) があります。 True に設定すると、デバイスでBluetoothが無効になります。

また、エンド ユーザーがデバイスのBluetooth設定を変更できないようにする [ ブロック Bluetooth構成] 設定もあります。

これらの設定は異なり、結果も異なります。 以下に例を挙げます。

  • シナリオ: エンド ユーザーがデバイスのBluetooth設定をオンにしました。 管理者は、 ブロック Bluetooth 設定を True に設定する Intune ポリシーを作成 します

    この状況では、エンド ユーザーがオンにした場合でも、デバイスでBluetoothがブロックされます。

  • シナリオ: エンド ユーザーがデバイスのBluetooth設定をオンにしました。 管理者は、 ブロック Bluetooth構成 設定を True に設定する Intune ポリシーを作成 します

    この状況では、エンド ユーザーが以前にオンにしてから、Bluetoothがオンになります。 エンド ユーザーがBluetoothをオフにすることはできません。 エンド ユーザーが以前にBluetoothをオフにした後、[ Bluetooth構成のブロック ] ポリシーが適用されている場合、Bluetoothはオフになり、エンド ユーザーはそれを再度オンにすることはできません。

設定カタログで構成できる既存の設定の一覧については、Intune 設定カタログ の Android Enterprise デバイス設定の一覧を参照してください。

適用対象:

  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス (COPE)
  • 会社所有 Android Enterprise フル マネージド (COBO)
  • 会社所有 Android Enterprise 専用デバイス (COSU)

デバイス管理

パフォーマンスとデータの一貫性を向上させる新しいレポート システム

Microsoft Intune では、新しいポリシー レポート サービス (PRS) V3 をロールアウトしています。 新しいシステムにより、レポートの生成が高速化され、信頼性が向上し、データの整合性が向上します。

最初のフェーズでは、トラフィックの多いコンプライアンスレポートとデバイス構成レポートが新しいシステムに移行しています。

ユーザーは、Intune 管理センターの更新プログラムが速くなり、古いデータに関する問題が少なくなっていることに気付きます。 レポートが自動的に切り替わり、ユーザーからのアクションは必要ありません。

(PRS) V3 では、デバイスレポートはデバイスがチェックインしたときにのみ更新されます。 この動作は、以前のバージョンからの意図的な変更です。

ポリシーが削除されてもデバイスがチェックインされていない場合、レポートには最後の既知の状態が引き続き表示されます。 ポリシーは、次のチェックイン中に削除され、その時点でレポートが更新されます。 この動作により精度が向上しますが、(PRS) V1 で経験した顧客とは異なる場合があります。

使用できる Intune レポートの詳細については、「 Intune レポート」を参照してください。

デバイスのセキュリティ

SCEP 証明書プロファイルの新しい属性と S/MIME ベースライン要件

Intune では、SCEP と PKCS デバイス構成プロファイルのサブジェクト名設定に 2 つの新しい属性がサポートされています。 これには、次のものが含まれます。

  • G={{GivenName}}
  • SN={{SurName}}

7 月 16 日以降、パブリック ルート CA に固定された S\MIME (暗号化または署名) 証明書を発行するために Intune SCEP API と統合されたサード パーティの公開証明機関 (CA) を使用している場合は、サブジェクト名形式でこれらの属性を使用する必要があります。 その日付以降、パブリック CA は、これらの属性を省略する S\MIME 証明書を発行または署名しません。

詳細については、「 サード パーティのパブリック CA の S/MIME 証明書の要件」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Datasite (iOS) による Intune のデータ サイト
  • Intus Workforce Solutions による Mijn InPlanning (iOS)
  • Nitro PDF Pro by Nitro Software, Inc. (iOS)
  • SMART TeamWorks by SMART Technologies ULC (iOS)

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

監視とトラブルシューティング

Windows ハードウェア構成証明レポートの [新しい状態] 列

構成証明エラーの可視性を向上させるために、Windows ハードウェア構成証明レポートに新しい列 [構成証明 の状態] を追加しました。 この列には、構成証明プロセス中に受信したエラー メッセージが表示され、サービス側とクライアント側の両方から問題を特定するのに役立ちます。 この列に表示されるエラーの種類は次のとおりです。

  • WinINet エラー
  • HTTP の不適切な要求エラー
  • その他の構成証明関連のエラー

レポートの詳細については、「 Windows ハードウェア構成証明レポート」を参照してください。

2025 年 6 月 9 日の週

アプリ管理

Win32 アプリの ARM64 サポート

Win32 アプリを Intune に追加するときに、ARM64 オペレーティング システムを実行している Windows デバイスにアプリをチェックしてインストールするオプションを選択できます。 この機能は、 Microsoft Intune 管理センター から [ アプリ>すべてのアプリ>作成] を選択して利用できます。 ARM64 オプションは、[要件] ステップの [オペレーティング システム アーキテクチャ] オプションを選択して使用できます。 以前に 64 ビット デバイスを対象とした Win32 アプリケーションに影響を与えないように、既存の 64 ビット Win32 アプリケーションでも ARM64 が選択されています。 ARM64 オペレーティング システム アーキテクチャを具体的にターゲットにできる状態が得られた後、x64 を選択しても ARM64 デバイスはターゲットになりません。

関連情報については、「Microsoft Intune での Win32 アプリの管理」を参照してください。

適用対象:

  • Windows デバイス

2025 年 6 月 2 日の週

デバイスのセキュリティ

Intune 用脆弱性修復エージェント (パブリック プレビュー)

脆弱性修復エージェントは現在、限定されたパブリック プレビュー段階にあり、一部の顧客グループのみが使用できます。 アクセス権の取得に関心がある場合、または詳細を確認したい場合は、営業チームに連絡して詳細と次の手順を確認してください。

このエージェントは、実行時にMicrosoft Defender 脆弱性の管理からのデータを使用して、マネージド デバイスの脆弱性に対する修復ガイダンスを特定して提供します。 エージェントを実行してアクセスし、その結果を Intune 管理センター内から表示します。ここで、エージェントによって修復の優先順位が付いた提案が表示されます。 各提案には、関連する CVE、重大度、悪用可能性、影響を受けるシステム、組織の公開、ビジネスへの影響、修復に関するガイダンスなどの重要な情報が含まれています。

この情報は、環境に対する潜在的なリスクの現在の評価と、最初に対処するリスクを決定するのに役立つガイダンスを提供します。

前提条件など、このエージェントの詳細については、「Microsoft Intune のSecurity Copilotの脆弱性修復エージェント」を参照してください。

2025 年 5 月 26 日の週 (サービス リリース 2505)

Microsoft Intune Suite

エンドポイント特権管理規則によって昇格が明示的に拒否される

Endpoint Privilege Management (EPM) 昇格規則に、新しいファイル昇格タイプの Deny が含まれるようになりました。 [拒否] に設定されている EPM 昇格規則は、指定されたファイルが昇格されたコンテキストで実行されないようにブロックします。 ユーザーが特定のファイルを昇格できるようにするには、ファイル昇格ルールを使用することをお勧めします。 ただし、拒否規則は、既知の悪意のあるソフトウェアなどの特定のファイルを管理者特権のコンテキストで実行できないようにするのに役立ちます。

拒否 ルールでは、子プロセスを除く他の 昇格の種類 と同じ構成オプションがサポートされています。これは使用されません。

Intune Suite アドオン機能として使用できる EPM の詳細については、「エンドポイント特権管理の概要」を参照してください。

アプリ管理

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • Windows App by Microsoft Corporation (Android)
  • Microsoft Corporation (iOS) によるMicrosoft Clipchamp
  • 4CEE Connect by 4CEE Development
  • Mobile Helix Link for Intune by Mobile Helix

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

デバイス構成

Windows デバイスの DFCI プロファイルを管理する

DFCI プロファイルを使用して、Windows 10またはWindows 11を実行する NEC デバイスの UEFI (BIOS) 設定を管理できます。 Windows を実行しているすべての NEC デバイスが DFCI に対して有効になっているわけではありません。 対象となるデバイスについては、デバイス ベンダーまたはデバイスの製造元にお問い合わせください。

Microsoft Intune 管理センター内から DFCI プロファイルを管理するには、デバイス>管理デバイス>Configuration>Create>New policy>Windows 10 以降のプラットフォーム >Templates>プロファイルの種類のデバイス ファームウェア構成インターフェイスに移動します。 DFCI プロファイルの詳細については、以下を参照してください。

適用対象:

  • Windows

デバイスの登録

AOSP デバイスのカスタム名前付けテンプレート

Intune に登録するときに、AOSP ユーザー関連デバイスとユーザーレス デバイスに名前を付けるためにカスタム テンプレートを使用します。 テンプレートは、登録プロファイルで構成するために使用できます。 これには、フリー テキストと定義済みの変数 (デバイスのシリアル番号、デバイスの種類など) の組み合わせと、ユーザー関連デバイスの所有者のユーザー名を含めることができます。 テンプレートを構成する方法の詳細については、次を参照してください。

デバイス登録の制限に対するロールベースのアクセス制御への変更

デバイスの制限に関するロールベースのアクセス制御 (RBAC) を更新しました。 現在、 ポリシーとプロファイル マネージャー ロール、またはロールに組み込まれている デバイス構成 のアクセス許可が割り当てられている場合は、デバイス登録制限ポリシーへの読み取り専用アクセス権が付与されます。 これらのポリシーを作成および編集するには、Intune 管理者である必要があります。

デバイス管理

クロス プラットフォーム デバイス インベントリ

Android、iOS、Mac の各デバイスがデバイス インベントリに追加されます。 Intune では、74 個の Apple プロパティと 32 個の Android プロパティを含むインベントリ データの既定のセットが収集されるようになりました。

詳細については、「Microsoft Intune を使用してデバイスの詳細を表示する」を参照してください。

Android デバイスでの無人リモート ヘルプ セッション中のセキュリティの強化

Android デバイス上の無人リモート ヘルプ セッション中に、デバイスの画面がブロックされ、ユーザーが操作すると通知されます。 この機能により、リモート アシスタンス中のセキュリティとユーザーの認識が強化されます。

この機能は、Android Enterprise 企業所有の専用デバイスとして登録されている Zebra デバイスと Samsung デバイス用です。

リモート ヘルプの詳細については、「リモート ヘルプ」を参照してください。

デバイスのセキュリティ

ルート化された企業所有の Android Enterprise デバイスを検出する

企業所有の Android Enterprise デバイスがルート化されているかどうかを検出するようにコンプライアンス ポリシーを構成します。 Microsoft Intune がデバイスがルート化されていることを検出した場合は、非準拠としてマークできます。 この機能は、フル マネージド、専用、または会社所有の仕事用プロファイルとして登録されたデバイスで使用できるようになりました。 詳細については、「 Intune での Android Enterprise のデバイス コンプライアンス設定」を参照してください。

適用対象:

  • Android

Linux デバイスでエンドポイントの検出と応答とウイルス対策の除外設定を構成するための新しいエンドポイント セキュリティ プロファイル

Microsoft Defender for Endpointセキュリティ設定管理の Intune シナリオの一環として、Microsoft Defender グローバル除外 (AV+EDR) という名前の Linux の新しいエンドポイント検出と応答プロファイルを使用できます。このプロファイルを使用して、両方の Linux デバイスの除外を管理できますMicrosoft Defender エンドポイントの検出と応答 (EDR) とウイルス対策 (AV)。

このプロファイルは、Microsoft Defender ドキュメントの「Linux での除外の構成と検証」で詳しく説明されているように、グローバル除外設定に関連する設定をサポートしています。 これらの除外構成は、Linux クライアント上のウイルス対策エンジンと EDR エンジンの両方に適用され、除外された項目に対する関連するリアルタイム保護 EDR アラートを停止できます。 除外は、ポリシーの管理者によって明示的に定義されたファイル パス、フォルダー、またはプロセスによって定義できます。

新しい Intune プロファイル:

  • Microsoft Defender ウイルス対策の既存のエンドポイント セキュリティウイルス対策ポリシーに加えて使用できます。
  • Microsoft Defender for Endpointセキュリティ設定管理シナリオを通じて管理するデバイスでサポートされています。
  • Intune によって直接管理される Linux デバイスではサポートされていません。

使用可能な Defender 設定の詳細については、Defender for Endpoint のドキュメントの「Microsoft Defender for Endpoint on Linux - Microsoft Defender for Endpointでセキュリティ設定を構成する」を参照してください。

適用対象:

  • Linux

テナント管理

Windows デバイス上の SimInfo エンティティからのデータ収集

強化されたデバイス インベントリを使用して、Windows デバイス上の SimInfo エンティティからデータを収集できるようになりました。 詳細については、「 Intune データ プラットフォーム」を参照してください。

適用対象:

  • Windows

2025 年 4 月 28 日の週

アプリ管理

Apple 特殊デバイスの Intune サポート

アプリ保護 ポリシー (APP) では、Microsoft Edge (v136 以降)、OneDrive (v16.8.4 以降)、Outlook (v4.2513.0 以降) がサポートされています。 visionOS デバイスでこれらの特定のアプリに対してこの設定を有効にするには、アプリ構成ポリシーで com.microsoft.intune.mam.visionOSAllowiPadCompatAppsEnabled に設定する必要があります。 アプリ構成ポリシーを割り当てると、VisionOS デバイスのアプリ保護ポリシーを作成して割り当てることができます。 詳細については、「 VisionOS デバイス上のデータを保護する」を参照してください。

テナント管理

Microsoft Intune の新しいアイコン

Microsoft Intune には新しいアイコンがあります。 Intune アイコンは、Intune 管理センターやIntune ポータル サイト アプリなど、Intune に関連付けられているプラットフォームとアプリ間で更新されています。 新しいアイコンは、今後数か月間徐々に実装されます。

2025 年 4 月 21 日の週 (サービス リリース 2504)

Microsoft Intune Suite

ファイル引数とパラメーターに対する Endpoint Privilege Management 昇格ルールのサポート

Endpoint Privilege Management (EPM) のファイル昇格規則で 、コマンド ライン ファイル引数がサポートされるようになりました。 昇格ルールが 1 つ以上のファイル引数を定義するように構成されている場合、EPM では、定義された引数の 1 つが使用されている場合にのみ、昇格された要求でそのファイルを実行できます。 EPM は、昇格規則で定義されていないコマンド ライン引数を使用する必要があるファイルの昇格をブロックします。 ファイル昇格ルールでファイル引数を使用すると、Endpoint Privilege Management によって昇格されたコンテキストで異なるファイルが正常に実行される方法と意図を調整するのに役立ちます。

EPM は、 Intune Suite アドオン機能として使用できます。

アプリ管理

Intune アプリで使用できるリレーションシップ ビューアー

リレーションシップ ビューアーは、スーパーシングや依存アプリケーションなど、システム内のさまざまなアプリケーション間の関係をグラフィカルに示します。 管理者は、[ アプリ>すべてのアプリ>a Win32 アプリ>Relationship ビューアー] を選択することで、Intune でリレーションシップ ビューアーを見つけることができます。 リレーションシップ ビューアーでは、Win32 アプリと Enterprise App Catalog アプリの両方がサポートされています。 詳細については、「 アプリ関係ビューアー」を参照してください。

新しい API v2.0 を使用した Apple VPP

Apple は最近、アプリや書籍の管理に使用されるボリューム購入プログラム (VPP) の API を更新しました。 Apple の関連 API がバージョン 2.0 になりました。 バージョン 1.0 は非推奨です。 Apple の更新プログラムをサポートするために、Microsoft Intune では、以前のバージョンよりも高速でスケーラブルな新しい API を使用します。

適用対象:

  • iOS/iPadOS
  • macOS

Android および iOS アプリのその他の組織データ ストレージ サービス オプション

Intune では、Android または iOS 用のアプリ保護ポリシーを使用して組織データのコピーを保存するときに、より多くのストレージ サービス オプションが提供されるようになりました。 既存の組織データストレージオプションに加えて、ストレージオプションとして iManageEgnyte を選択することもできます。 [ 組織データのコピー をブロック] に設定し、[選択したサービスへのコピーの保存をユーザーに許可する] 設定の横にある許可されるストレージ サービスを選択して、これらの サービスを ブロック リストから除外として選択する必要があります。 この設定は、すべてのアプリケーションに適用されるわけではありません。

アプリ保護ポリシーを使用したデータ保護の詳細については、「 iOS アプリ保護ポリシー設定 - データ保護Android アプリ保護ポリシー設定 - データ保護」を参照してください。

適用対象:

  • iOS

デバイス構成

Windows 配信の最適化のデバイス構成テンプレートを更新しました

Windows 配信の最適化 用のデバイス構成テンプレートが更新されます。 新しいテンプレートでは、設定カタログの設定形式が使用されます。 設定は、 Windows のポリシー CSP - DeliveryOptimization に記載されているように、Windows 配信の最適化のために Windows Configuration Service Providers (CSP) から直接取得されます。

この変更により、古いプロファイルの新しいバージョンを作成できなくなります。 ただし、古いプロファイルの既存のインスタンスは引き続き使用できます。

この変更の詳細については、「 サポート ヒント: Intune の統合設定プラットフォームに移行する Windows デバイス構成ポリシー」の「Intune カスタマー サクセス」ブログを参照してください。

適用対象:

  • Windows 10
  • Windows 11

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 この設定を表示するには、Microsoft Intune 管理センターで、「デバイス>管理デバイス>Configuration>Create>New policy>macOS for platform >プロファイルの種類のカタログ」を参照してください。

macOS

ログイン > ログイン ウィンドウ:

  • [入力メニューの表示]

設定カタログの Android 設定

設定カタログでは、Android Enterprise および Android オープン ソース プロジェクト (AOSP) がサポートされています。

現在、Android 設定を構成するには、組み込みのテンプレートを使用します。 これらのテンプレートの設定は、設定カタログでも使用できます。 その他の設定が継続的に追加されています。

Intune 管理センターで、デバイス構成プロファイルを作成するときに、プロファイルの種類 (デバイス>管理デバイス>Configuration>Create>New ポリシーを選択>[プラットフォーム>プロファイルの種類] を選択します。 すべてのプロファイルの種類は、 プロファイルの種類>Templates に移動されます。

この変更は:

  • 既存のポリシーに影響を与えない UI の変更です。既存のポリシーは変更されません。 これらのポリシーは引き続き同じ方法で作成、編集、割り当てることができます。
  • iOS/iPadOS、macOS、Windows テンプレートと同じ UI エクスペリエンスを提供します。

新しい設定カタログ エクスペリエンスでは、設定に関連付けられている管理モードがヒントで使用できます。 設定カタログの使用を開始するには、「 設定カタログを使用してデバイスの設定を構成する」を参照してください。

適用対象:

  • Android Enterprise
  • AOSP

デバイスの登録

Android Enterprise 企業所有デバイス用のカスタム デバイスの名前付けテンプレート

Intune に登録するときに、Android Enterprise 企業所有のデバイスに名前を付けるカスタム テンプレートを使用できます。 テンプレートは、登録プロファイルで構成するために使用できます。 これには、カスタム テキストと定義済みの変数 (デバイスのシリアル番号、デバイスの種類など) と、ユーザー関連デバイスの所有者のユーザー名の組み合わせを含めることができます。 詳細については、以下を参照してください:

適用対象:

  • Android

Android Enterprise 企業デバイスの登録時のグループ化

Android Enterprise 企業所有のデバイスで使用できるようになりました。登録時間グループを使用すると、登録時にデバイスに静的なMicrosoft Entra グループを割り当てることができます。 対象の Android デバイスが登録されると、割り当てられたすべてのポリシー、アプリ、設定 (通常はユーザーがホーム画面に移動する時間) を受け取ります。 Microsoft Intune 管理センターの [デバイス グループ] タブで、登録プロファイルごとに 1 つの静的なMicrosoft Entra グループを構成できます。 詳細については、「 登録時間のグループ化」を参照してください。

デバイス管理

個人所有の仕事用プロファイル デバイスのカスタム プロファイルのサポートを終了する Intune

2025 年 4 月以降、Intune は Android Enterprise 個人所有の仕事用プロファイル デバイスのカスタム プロファイルをサポートしなくなりました。 このサポートが終了しました。

  • 管理者は、個人所有の仕事用プロファイル デバイス用の新しいカスタム プロファイルを作成できません。 ただし、管理者は、以前に作成したカスタム プロファイルを引き続き表示および編集できます。

  • 現在カスタム プロファイルが割り当てられている個人所有の仕事用プロファイル デバイスでは、すぐに機能が変更されることはありません。 これらのプロファイルはサポートされなくなったため、これらのプロファイルによって設定される機能は将来変更される可能性があります。

  • Intune テクニカル サポートでは、個人所有の仕事用プロファイル デバイスのカスタム プロファイルがサポートされなくなりました。

すべてのカスタム ポリシーは、他のポリシーの種類に置き換える必要があります。 個人所有の仕事用プロファイルカスタム プロファイルの Intune 終了サポートの詳細

デバイスのセキュリティ

Windows セキュリティ ベースライン バージョン 24H2 に追加された新しい設定

注:

セキュリティ ベースラインの新しい設定のロールアウトが進行中ですが、通常よりも時間がかかります。 この遅延のため、新しい設定は 2025 年 5 月 5 日の週まで使用できない場合があります。

Windows バージョン 24H2 の最新の Intune セキュリティ ベースラインが更新され、 Lanman ServerLanman Workstation の Windows 構成サービス プロバイダー (CSP) を管理するための 15 の新しい設定が含まれます。 これらの設定は、CSP のサポートがないため、ベースラインで以前は使用できませんでした。 これらの設定を追加すると、より適切な制御と構成オプションが提供されます。

この更新プログラムは、新しいベースライン バージョンではなく、既存のベースライン バージョンへの更新です。 そのため、ベースラインを編集して保存するまで、新しい設定は基準計画のプロパティに表示されません。

  • 既存のベースライン インスタンス: 既存のベースライン インスタンスで新しい設定を使用できるようにするには、そのベースライン インスタンスを選択して 編集 する必要があります。 ベースラインに新しい設定をデプロイするには、そのベースライン インスタンスを 保存 する必要があります。 ベースラインを編集用に開くと、新しい各設定が既定のセキュリティ ベースライン構成で表示されます。 保存する前に、1 つ以上の新しい設定を再構成できます。 または、新しい設定ごとにベースラインの既定値を使用する現在の構成を保存する以外は変更しません。

  • 新しいベースライン インスタンス: Windows セキュリティ ベースライン バージョン 24H2 の新しいインスタンスを作成すると、そのインスタンスには、以前に使用可能だったすべての設定と共に新しい設定が含まれます。

バージョン 24H2 ベースラインに追加される新しい設定と、それぞれのベースラインの既定値を次に示します。 Lanman Server

Lanman Workstation

詳細については、「 Intune のセキュリティ ベースライン」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • FileOrbis FZ LLC による Intune の FileOrbis
  • PagerDuty for Intune by PagerDuty, Inc.
  • Outreach.io 株式会社アウトリーチ

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

テナント管理

Intune 管理センターのホーム ページにUpdatesする

Microsoft Intune 管理センターのホーム ページには、対話型デモ、ドキュメント、トレーニングへのより多くのリンクが含まれています。 これらの更新プログラムを表示するには、 Microsoft Intune 管理センターに移動します。

2025 年 4 月 14 日の週

デバイス構成

Windows 11 Enterpriseのホットパッチ更新プログラムが利用可能になりました

x64 (AMD/Intel) CPU デバイス用の Windows 11 Enterprise バージョン 24H2 のホットパッチ更新プログラムが利用可能になりました。 ホットパッチ更新プログラムを使用すると、ユーザーの中断を最小限に抑えながら、organizationをサイバー攻撃から保護するために、セキュリティ更新プログラムをより迅速に展開および適用できます。 Microsoft Intune 管理センターから、[ Windows > Windows 更新プログラム] > [Windows 品質更新プログラム ポリシーの作成 ] に移動し、[ 許可] に切り替えます。

登録と準備 Windows 品質更新プログラム ポリシーは、対象のデバイスがホットパッチ更新プログラムの対象であるかどうかを自動検出できます。 バージョン 23H2 以降のWindows 10およびWindows 11を実行しているデバイスは、引き続き標準の毎月のセキュリティ更新プログラムを受け取り、エコシステムの保護と生産性を維持するのに役立ちます。

ホットパッチ更新プログラムを使用して堅牢なセキュリティを維持するWindows クライアント向けのホットパッチ テクノロジの一般提供は、Windows 11 Enterprise ユーザーのセキュリティと生産性を強化する上で大きな前進を示しています。 ホットパッチ更新プログラムは、デバイスをより迅速にセキュリティで保護し、中断を最小限に抑えながらユーザーの生産性を維持するのに役立ちます。 組織では、この新機能を利用して、ユーザー エクスペリエンスへの影響を最小限に抑えながら、堅牢なセキュリティ体制を維持することをお勧めします。 ホットパッチ更新プログラムは、2025 年 4 月 2 日の時点で Intel および AMD 搭載デバイスで一般公開され、この機能は後日 Arm64 デバイスで利用できるようになります。

詳細については、以下を参照してください:

2025 年 3 月 24 日の週

デバイスのセキュリティ

監査済みパッケージの新しい Microsoft Tunnel 準備チェック

Microsoft Tunnel 準備ツールには、Linux システム監査 (LSA) の監査済みパッケージのチェックが含まれるようになりました。 auditd の存在は省略可能であり、Linux サーバー用の Microsoft Tunnel で必須の前提条件ではありません。

mst-readiness ツールを実行すると、監査パッケージがインストールされていない場合にブロックされない警告が発生するようになりました。 既定では、Red Hat Enterprise Linux バージョン 7 以降では、このパッケージが既定でインストールされます。 現在、Ubuntu バージョンの Linux では、このオプション パッケージをインストールする必要があります。

監査の詳細と、Microsoft Tunnel サーバーにインストールする方法については、「Linux システム監査」を参照してください。

2025 年 3 月 17 日の週 (サービス リリース 2503)

Microsoft Intune Suite

ARM 64 ビット デバイスのエンドポイント特権管理のサポート

Endpoint Protection Manager (EPM) では、ARM 64 ビット アーキテクチャで実行されるデバイスでのファイル昇格の管理がサポートされるようになりました。

適用対象:

  • Windows

デバイス構成

Apple 設定カタログで使用できる新しい設定

[設定 カタログ] には、デバイス ポリシーで構成できるすべての設定と、すべての設定が 1 か所に一覧表示されます。 Intune での設定カタログ プロファイルの構成の詳細については、「設定 カタログを使用してポリシーを作成する」を参照してください。

[設定カタログ] に新しい設定があります。 これらの設定を表示するには、Microsoft Intune 管理センターで、[デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOS for platform >プロファイルの種類の設定カタログ] に移動します。

iOS/iPadOS

制限事項:

  • Apple Intelligence レポートを許可する
  • 既定の呼び出し元アプリの変更を許可する
  • 既定のメッセージング アプリの変更を許可する
  • メール スマート返信を許可する
  • ノートの文字起こしを許可する
  • Safari の概要を許可する
macOS

リモート デスクトップ:

  • リモート デスクトップ

制限事項:

  • Apple Intelligence レポートを許可する
  • メール スマート返信を許可する
  • ノートの文字起こしを許可する
  • Safari の概要を許可する

デバイス管理

Windows LAPS ポリシーの新しい設定

Windows ローカル管理者パスワード ソリューション (LAPS) の Intune ポリシーに、以前に利用可能だった 2 つの設定に対するいくつかの新しい設定と更新プログラムが含まれるようになりました。 LAPS は組み込みの Windows ソリューションであり、各 Windows デバイスに存在する組み込みのローカル管理者アカウントをセキュリティで保護するのに役立ちます。 Intune LAPS ポリシーを使用して管理できる設定はすべて、Windows LAPS CSP で説明されています。

次の新しい設定を使用できます(各設定名は、その設定の CSP ドキュメントを開くリンクです)。

次の設定では、新しいオプションを使用できます。

  • パスワードの複雑さ – この設定で使用できる新しいオプションを次に示します。
    • パスフレーズ (長い単語)
    • パスフレーズ (短い単語)
    • パスフレーズ (一意のプレフィックスを持つ短い単語)
  • 認証後のアクション - この設定では、次のオプションを使用できるようになりました。
    • パスワードをリセットし、マネージド アカウントからログオフし、残りのプロセスを終了します。猶予期間の有効期限が切れた時点で、マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用するすべての対話型ログオン セッションがログオフされ、残りのプロセスはすべて終了します。

既定では、LAPS ポリシーの各設定は [未構成] に設定されています。つまり、これらの新しい設定を追加しても、既存のポリシーの動作は変更されません。 新しい設定とオプションを使用するには、新しいプロファイルを作成するか、既存のプロファイルを編集します。

適用対象:

  • Windows

宣言型デバイス管理 (DDM) を使用して、最新の OS バージョンを維持するようにデバイスを構成する

設定カタログの一部として、DDM を使用して最新の OS バージョンに自動的に更新するようにデバイスを構成できるようになりました。 Microsoft Intune 管理センターでこれらの新しい設定を使用するには、デバイス>管理デバイス>Configuration>Create>New policy>iOS/iPadOS または macOSfor platform >プロファイルの種類の設定カタログに移動します。

宣言型デバイス管理 > ソフトウェア更新プログラムによる最新の適用

  • 最新のソフトウェア更新プログラムのバージョンを適用する: true の場合、デバイスは、そのデバイス モデルで使用できる最新の OS バージョンにアップグレードされます。 この機能は、ソフトウェア更新プログラムの適用構成を使用し、期限が過ぎた後にデバイスに更新プログラムの再起動とインストールを強制します。
  • [遅延日数]: 期限が適用されるまでに経過する日数を指定します。 この遅延は、Apple によってリリースされたとき、またはポリシーが構成されている場合に、新しい更新プログラムの投稿日に基づいています。
  • インストール時間: 更新プログラムが適用されるローカル デバイスの時刻を指定します。 この設定では、午前 0 時が 00:00、午後 11:59 が 23:59 の 24 時間時計形式を使用します。 1 桁の時間に先頭の 0 を含める必要があります。 たとえば、01:00、02:00、03:00 などです。

DDM を使用した管理対象更新プログラムの構成の詳細については、「 管理対象ソフトウェア更新プログラム」を参照してください。

適用対象:

  • iOS/iPadOS
  • macOS

リモート ヘルプでは、Azure Virtual Desktop muti-session がサポートされます

リモート ヘルプでは、1 つの仮想マシン上の複数のユーザーとのマルチセッション AVD のサポートが提供されるようになりました。 以前リモート ヘルプでは、1 人のユーザーが 1 つの仮想マシン (VM) で Azure Virtual Desktop (AVD) セッションをサポートしていました。

詳細については、以下を参照してください:

デバイス クエリの Copilot アシスタント

Copilot を使用して KQL クエリを生成し、Intune の複数のデバイスからデータを取得できるようになりました。 この機能は、 Microsoft Intune 管理センター で [ デバイス>デバイス クエリ>Query with Copilot] を選択して使用できます。 詳細については、「デバイス クエリでの Copilot を使用したクエリ」を参照してください。

Intune アプリ

新しく利用可能になった Intune 用の保護されているアプリ

次の保護されたアプリを Microsoft Intune で使用できるようになりました。

  • FacilyLife by Apleona GmbH (iOS)
  • Intapp 2.0 by Intapp, Inc. (Android)
  • DealCloud by Intapp, Inc. (Android)
  • Critigen LLC (iOS) による Intune 用 Lemur Pro

保護されているアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。

2025 年 3 月 3 日の週

監視とトラブルシューティング

機能更新レポートにUpdatesする

サービス側データに新しい Update Substate が導入されています。 このサブ状態は、Microsoft Entraで無効であり、サポートされていないと呼ばれるデバイスのレポートに表示されます。

詳細については、「Windows Update for Business レポートを Windows Updatesに使用する」を参照してください。

アーカイブの新機能

前の月については、 新着情報のアーカイブに関するページを参照してください。

通知

この通知では、今後の Intune の変更と機能に備えるために役立つ重要な情報が提供されます。

2025 年 12 月より前に、Android 用の最新のIntune ポータル サイト、iOS 用 Intune App SDK、および iOS 用 Intune アプリ ラッパーに更新します

2025 年 12 月 15 日以降、または間もなく、Intune モバイル アプリケーション管理 (MAM) サービスを改善するための更新プログラムが作成されます。 この更新プログラムでは、iOS でラップされたアプリ、iOS SDK 統合アプリ、および Android 用のIntune ポータル サイトを最新バージョンに更新して、アプリケーションが安全でスムーズに実行されるようにする必要があります。

重要

最新バージョンに更新しない場合、ユーザーはアプリの起動をブロックされます。

更新された SDK を含む 1 つの Microsoft アプリケーションがデバイス上にあり、ポータル サイトが最新バージョンに更新されると、Android アプリが更新されるため、このメッセージは iOS SDK/アプリ ラッパーの更新に重点を置いています。 Android アプリと iOS アプリを常に最新の SDK またはアプリ ラッパーに更新して、アプリがスムーズに実行されるようにすることをお勧めします。 特定の影響の詳細については、次の GitHub のお知らせを確認してください。

質問がある場合は、該当する GitHub のお知らせにコメントを残してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

サポートされている最新の Microsoft またはサード パーティのアプリ保護に更新されていないユーザーは、アプリの起動がブロックされます。 Intune ラッパーまたは Intune SDK を使用している iOS 基幹業務 (LOB) アプリケーションがある場合は、Xcode 26 でコンパイルされたアプリの Xcode 16 およびバージョン 21.1.0 以降でコンパイルされたアプリの Wrapper/SDK バージョン 20.8.0 以降で、ユーザーがブロックされないようにする必要があります。

どのように準備できますか?

2025 年 12 月 15 日より前に、以下の変更を行う予定です。

注:

条件付きアクセス ポリシーを使用して、アプリ保護ポリシーを持つアプリのみが企業リソースにアクセスできるようにします。 詳細については、条件付きアクセス ポリシーの作成に関するドキュメントを参照 してください

新しい Intune ネットワーク エンドポイントを含むようにファイアウォール構成を更新する

2025 年 12 月 2 日以降、または 2025 年 12 月 2 日以降に Microsoft の進行中の Secure Future Initiative (SFI) の一環として、Microsoft Intune のネットワーク サービス エンドポイントも Azure Front Door IP アドレスを使用します。 この改善により、最新のセキュリティ プラクティスとの整合性が向上し、時間の経過と共に、複数の Microsoft 製品を使用する組織がファイアウォール構成を管理および維持しやすくなります。 その結果、お客様は、Intune デバイスとアプリ管理の適切な機能を有効にするために、これらのネットワーク (ファイアウォール) 構成をサード パーティのアプリケーションに追加する必要があります。 この変更は、IP アドレスまたは Azure サービス タグに基づいて送信トラフィックを許可するファイアウォール許可リストを使用しているお客様に影響します。

Microsoft Intune に必要な既存のネットワーク エンドポイントは削除しないでください。 追加のネットワーク エンドポイントは、Azure Front Door およびサービス タグ情報の一部として文書化されています。以下にリンクされているファイルで参照されています。

その他の範囲は、上記でリンクされている JSON ファイルに記載されている範囲であり、"AzureFrontDoor.MicrosoftSecurity" を検索することで確認できます。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

ファイアウォール、ルーター、プロキシ サーバー、クライアント ベースのファイアウォール、VPN、またはネットワーク セキュリティ グループに対して Intune IP アドレス範囲または Azure サービス タグの送信トラフィック ポリシーを構成している場合は、新しい Azure Front Door 範囲を "AzureFrontDoor.MicrosoftSecurity" タグと共に含むように更新する必要があります。

Intune では、モバイル デバイス管理またはモバイル アプリケーション管理のいずれに対しても、Intune 管理下のデバイスにインターネット アクセスが必要です。 送信トラフィック ポリシーに新しい Azure Front Door IP アドレス範囲が含まれていない場合、ユーザーはログインの問題に直面する可能性があり、デバイスが Intune との接続を失う可能性があり、Intune ポータル サイトやアプリ保護ポリシーによって保護されているアプリへのアクセスが中断される可能性があります。

どのように準備できますか?

2025 年 12 月 2 日までに Azure Front Door に記載されている追加の IP アドレスを使用して、ファイアウォール規則が更新され、ファイアウォールの許可リストに追加されていることを確認します。

または、サービス タグ "AzureFrontDoor.MicrosoftSecurity" をファイアウォール規則に追加して、タグ内のアドレスに対するポート 443 の送信トラフィックを許可することもできます。

この変更を行うことができる IT 管理者でない場合は、ネットワーク チームに通知します。 インターネット トラフィックの構成を担当する場合は、次のドキュメントを参照して詳細を確認してください。

ヘルプデスクがある場合は、この今後の変更についてお知らせください。

Intune でのWindows 10のサポート ステートメントに更新する

Windows 10は、2025 年 10 月 14 日にサポートが終了します。 この日付以降、Windows 10は品質更新プログラムや機能更新プログラムを受け取らなくなります。 セキュリティ更新プログラムは、拡張セキュリティ Updates (ESU) プログラムにデバイスを登録した商用のお客様のみが利用できます。 詳細については、以下で共有されている追加情報を確認してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Windows 10サポートが終了すると、Microsoft Intune は引き続きWindows 10のコア管理機能を維持します。 これにより、以下が保証されます。

  • デバイス管理の継続性。
  • Windows 11への更新と移行ワークフローのサポート。
  • ESU のお客様が Windows セキュリティ更新プログラムを展開し、セキュリティで保護されたパッチ レベルを維持する機能。

Windows 10サポートが終了すると、Windows 10 (バージョン 22H2) の最終リリースが Intune で "許可" バージョンとして指定されます。 更新プログラムと新機能は使用できませんが、このバージョンを実行しているデバイスは引き続き Intune に登録して、対象となる機能を使用できますが、機能は保証されておらず、異なる場合があります。

どのように準備できますか?

Intune 管理センターの [すべてのデバイス] レポートを使用して、引き続きWindows 10を実行しているデバイスを特定し、対象となるデバイスをWindows 11にアップグレードします。

デバイスを時間内にアップグレードできない場合は、重要なセキュリティ更新プログラムを引き続き受け取るために、Windows 10 ESU プログラムに適格なデバイスを登録することを検討してください。

追加情報 :

変更の計画: Intune は iOS/iPadOS 17 以降のサポートに移行しています

暦年 2025 の後半では、iOS 26 と iPadOS 26 が Apple によってリリースされる予定です。 Microsoft Intune は、Intune ポータル サイトと Intune アプリ保護ポリシー (APP、MAM とも呼ばれます) を含め、iOS/iPadOS 26 リリースの直後に iOS 17/iPadOS 17 以降を必要とします。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

iOS/iPadOS デバイスを管理している場合、サポートされている最小バージョン (iOS 17/iPadOS 17) にアップグレードできないデバイスがある可能性があります。

Microsoft 365 モバイル アプリが iOS 17/iPadOS 17 以降でサポートされていることを考えると、この変更が影響を受けない可能性があります。 OS またはデバイスは既にアップグレードされている可能性があります。

iOS 17 または iPadOS 17 をサポートするデバイスをチェックするには (該当する場合)、次の Apple ドキュメントを参照してください。

注:

自動デバイス登録 (ADE) を使用して登録されたユーザーレス iOS デバイスと iPadOS デバイスには、共有の使用のために少し微妙なサポート ステートメントがあります。 サポートされている最小 OS バージョンが iOS 17/iPadOS 17 に変更され、許可されている OS バージョンは iOS 14/iPadOS 14 以降に変更されます。 詳細については、 ADE ユーザーレス サポートに関するこのステートメント を参照してください。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 モバイル デバイス管理 (MDM) を使用するデバイスの場合は、[ デバイス>すべてのデバイス と OS でフィルター処理する] に移動します。 アプリ保護ポリシーを持つデバイスの場合は、[Apps>Monitor>アプリ保護 状態] に移動し、[プラットフォーム] 列と [プラットフォーム バージョン] 列を使用してフィルター処理します。

organizationでサポートされている OS バージョンを管理するには、MDM と APP の両方で Microsoft Intune コントロールを使用できます。 詳細については、「 Intune でオペレーティング システムのバージョンを管理する」を参照してください。

変更の計画: Intune は今年後半に macOS 14 以降をサポートするように移行しています

暦年 2025 の後半では、macOS Tahoe 26 が Apple によってリリースされる予定です。 Microsoft Intune、ポータル サイト アプリ、Intune モバイル デバイス管理エージェントは、macOS 14 以降をサポートしています。 iOS と macOS 用のポータル サイト アプリは統合アプリであるため、この変更は macOS 26 のリリース直後に行われます。 これは、既存の登録済みデバイスには影響しません。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

この変更は、Intune で macOS デバイスを現在管理している場合、または管理を計画している場合にのみ影響します。 ユーザーが既に macOS デバイスをアップグレードしている可能性が高いので、この変更は影響を受けない可能性があります。 サポートされているデバイスの一覧については、「 macOS Sonoma がこれらのコンピューターと互換性がある」を参照してください。

注:

macOS 13.x 以下に現在登録されているデバイスは、それらのバージョンがサポートされなくなった場合でも、引き続き登録されます。 macOS 13.x 以下を実行している場合、新しいデバイスは登録できません。

どのように準備できますか?

Intune レポートをチェックして、影響を受ける可能性のあるデバイスまたはユーザーを確認してください。 [デバイス]>[すべてのデバイス] に移動し、macOS でフィルター処理します。 さらに列を追加して、organizationで macOS 13.x 以前を実行しているデバイスを特定するのに役立ちます。 サポートされている OS バージョンにデバイスをアップグレードするようにユーザーに依頼します。

変更の計画: Android 13 以降の Google Play の強力な整合性定義の更新

Google は最近、Android 13 以上を実行しているデバイスの "厳密な整合性" の定義を更新し、ハードウェアによるセキュリティ信号と最新のセキュリティ更新プログラムを必要としました。 詳細については、「 Android 開発者ブログ: Play Integrity API の高速化、回復性の向上、プライベート化」を参照してください。 Microsoft Intune では、 2025 年 9 月 30 日までにこの変更が適用されます。 それまでは、「 Android 13 以降のデバイスでの改善された判定」で説明されているように、中断を最小限に抑えるために、Google の推奨下位互換性ガイダンスに合わせてアプリ保護ポリシーとコンプライアンス ポリシーの動作を調整しました。 |Google Play |Android 開発者

この変更は、ユーザーやユーザーにどのような影響を与えますか?

過去 12 か月間にセキュリティ更新プログラムなしで Android 13 以上を実行しているデバイスを使用しているアプリ保護ポリシーやコンプライアンス ポリシーを持つユーザーを対象としている場合、これらのデバイスは "厳密な整合性" 標準を満たさなくなります。

ユーザーへの影響: この変更後、Android 13 以降でデバイスを実行しているユーザーの場合:

  • 最新のセキュリティ更新プログラムが適用されていないデバイスは、"厳密な整合性" から "デバイスの整合性" にダウングレードされ、影響を受けるデバイスの条件付き起動ブロックが発生する可能性があります。
  • 最新のセキュリティ更新プログラムが適用されていないデバイスでは、デバイスがIntune ポータル サイト アプリで非準拠になり、organizationの条件付きアクセス ポリシーに基づいて会社のリソースにアクセスできなくなる可能性があります。

Android バージョン 12 以下を実行しているデバイスは、この変更の影響を受けません。

どのように準備できますか?

2025 年 9 月 30 日より前に、必要に応じてポリシーを確認して更新します。 Android 13 以上を実行しているデバイスを持つユーザーが、タイムリーなセキュリティ更新プログラムを受け取っていることを確認します。 アプリ保護状態レポートを使用して、デバイスが最後に受け取った Android セキュリティ パッチの日付を監視し、必要に応じて更新するようにユーザーに通知できます。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

変更の計画: Windows Autopilot を使用してハイブリッド参加済みデバイスMicrosoft Entra展開するための新しい Intune コネクタ

Microsoft の Secure Future Initiative の一環として、最近、Windows Autopilot を使用してハイブリッド参加済みデバイスを展開するためのローカル SYSTEM アカウントではなく、マネージド サービス アカウントを使用するように Intune Connector for Active Directory に更新プログラムMicrosoft Entraリリースしました。 新しいコネクタは、ローカル SYSTEM アカウントに関連付けられている不要な特権とアクセス許可を減らすことで、セキュリティを強化することを目的としています。

重要

2025 年 6 月末に、ローカル SYSTEM アカウントを使用する古いコネクタを削除します。 その時点で、古いコネクタからの登録の受け入れを停止します。 詳細については、ブログ「Microsoft Intune Connector for Active Directory セキュリティ更新プログラム」を参照してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Windows Autopilot を使用してハイブリッド参加済みデバイスをMicrosoft Entraしている場合は、デバイスを効果的に展開および管理し続けるために、新しいコネクタに移行する必要があります。 新しいコネクタに更新しない場合、古いコネクタを使用して新しいデバイスを登録することはできません。

どのように準備できますか?

次の手順に従って、環境を新しいコネクタに更新します。

  1. Intune 管理センターに新しいコネクタをダウンロードしてインストールします。
  2. サインインして、マネージド サービス アカウント (MSA) を設定します。
  3. ドメイン参加に必要な組織単位 (OU) を含むように、ODJConnectorEnrollmentWizard.exe.config ファイルを更新します。

詳細な手順については、「Microsoft Intune Connector for Active Directory セキュリティ更新プログラム」および「Intune と Windows Autopilot を使用してハイブリッド参加済みデバイスMicrosoft Entra展開する」を参照してください。

変更の計画: Apple AI 機能の新しい設定。Genmojis, ライティング ツール, スクリーン キャプチャ

現在、Genmojis、書き込みツール、スクリーン キャプチャ用の Apple AI 機能は、アプリ保護ポリシー (APP) の "他のアプリに組織データを送信する" 設定が "すべてのアプリ" 以外の値に構成されている場合にブロックされます。 現在の構成、アプリの要件、および現在の Apple AI コントロールの一覧の詳細については、ブログ「Apple Intelligence の Microsoft Intune サポート」を参照してください。

今後のリリースでは、Intune アプリ保護ポリシーには、画面キャプチャ、Genmojis、および書き込みツールをブロックするための新しいスタンドアロン設定があります。 これらのスタンドアロン設定は、Intune App SDK および App Wrapping Tool の Xcode 16 の Xcode 15 および 20.4.0 以降のバージョン 19.7.12 以降に更新されたアプリでサポートされています。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

APP の [組織データを他のアプリに送信する] 設定を "すべてのアプリ" 以外の値に構成した場合、現在のユーザー エクスペリエンスの変更を防ぐために、アプリ保護ポリシーで新しい "Genmoji"、"書き込みツール"、および "スクリーン キャプチャ" 設定が [ブロック ] に設定されます。

注:

画面キャプチャを許可するようにアプリ構成ポリシー (ACP) を構成した場合、アプリ設定がオーバーライドされます。 新しい APP 設定を [許可] に更新し、ACP 設定を削除することをお勧めします。 画面キャプチャコントロールの詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 |Microsoft Learn

どのように準備できますか?

特定の AI 機能をブロックまたは許可するためのより詳細な制御が必要な場合は、アプリ保護ポリシーを確認して更新します。 (Apps>保護>ポリシーを選択します>プロパティ>基本>アプリ>データ保護)

変更の計画: 画面キャプチャ アクションがブロックされたときの iOS でのユーザー アラート

iOS 用の Intune App SDK と Intune App Wrapping Tool の今後のバージョン (20.3.0) では、マネージド アプリで画面キャプチャ アクション (記録とミラーリングを含む) が検出されたときにユーザーに対してサポートが追加されます。 アラートは、画面キャプチャをブロックするようにアプリ保護ポリシー (APP) を構成している場合にのみユーザーに表示されます。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

画面キャプチャをブロックするように APP が構成されている場合、ユーザーはスクリーンショット、スクリーン レコード、または画面ミラーを試みたときに、画面キャプチャ アクションがorganizationによってブロックされることを示すアラートを表示します。

最新の Intune App SDK または Intune App Wrapping Tool バージョンに更新されたアプリの場合、"すべてのアプリ" 以外の値に "組織データを他のアプリに送信" を構成した場合、画面キャプチャはブロックされます。 iOS/iPadOS デバイスの画面キャプチャを許可するには、マネージド アプリアプリ構成ポリシー設定 "com.microsoft.intune.mam.screencapturecontrol" を [無効] に構成します。

どのように準備できますか?

IT 管理者のドキュメントを更新し、必要に応じてヘルプデスクまたはユーザーに通知します。 ブロック画面キャプチャの詳細については、「iOS/iPadOS MAM で保護されたアプリの新しいブロック画面キャプチャ」を参照してください。

変更の計画: iOS 用の最新の Intune App SDK と iOS 用 Intune App Wrapping Toolでの画面キャプチャのブロック

最近、Intune App SDK と Intune App Wrapping Toolの更新バージョンをリリースしました。 これらのリリースに含まれる (Xcode 15 の場合は v19.7.5 以降、Xcode 16 の場合は v20.2.0 以降) は、iOS/iPadOS 18.2 の新しい AI 機能に応じて、画面キャプチャ、Genmojis、および書き込みツールをブロックするためのサポートです。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

最新の Intune App SDK または Intune App Wrapping Tool バージョンに更新されたアプリの場合、"すべてのアプリ" 以外の値に "組織データを他のアプリに送信する" を構成した場合、画面キャプチャはブロックされます。 iOS/iPadOS デバイスの画面キャプチャを許可するには、 マネージド アプリアプリ構成ポリシー 設定 "com.microsoft.intune.mam.screencapturecontrol" を [無効] に構成します。

どのように準備できますか?

アプリ保護ポリシーを確認し、必要に応じて、上記の設定を構成して画面キャプチャを許可する マネージド アプリアプリ構成ポリシー を作成します ([アプリ > アプリ構成ポリシー] > [Create > Managed Apps > Step 3 'Settings' under General configuration) を構成します。 詳細については、「 iOS アプリ保護ポリシー設定 - データ保護アプリ構成ポリシー - 管理対象アプリ」を参照してください。

変更の計画: SCEP 証明書と PKCS 証明書の強力なマッピングを実装する

2022 年 5 月 10 日の Windows 更新プログラム (KB5014754) では、証明書のなりすましに関連する特権の脆弱性の昇格を軽減するために、Windows Server 2008 以降のバージョンで Active Directory Kerberos Key Distribution (KDC) の動作が変更されました。 Windows では、 2025 年 2 月 11 日にこれらの変更が適用されます。

この変更に備えて、Intune は SCEP 証明書と PKCS 証明書を厳密にマップするセキュリティ識別子を含める機能をリリースしました。 詳細については、ブログ「 サポート ヒント: Microsoft Intune 証明書での強力なマッピングの実装」を参照してください。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

これらの変更は、ハイブリッド参加しているユーザーまたはデバイスに対して Intune によって配信される SCEP 証明書と PKCS 証明書Microsoft Entra影響します。 証明書を厳密にマップできない場合、認証は拒否されます。 強力なマッピングを有効にするには:

  • SCEP 証明書: セキュリティ識別子を SCEP プロファイルに追加します。 少数のデバイス グループでテストしてから、更新された証明書をゆっくりとロールアウトして、ユーザーの中断を最小限に抑えることが強くお勧めします。
  • PKCS 証明書: 証明書コネクタの最新バージョンに更新し、レジストリ キーを変更してセキュリティ識別子を有効にしてから、コネクタ サービスを再起動します。 大事な: レジストリ キーを変更する前に、レジストリ キーを変更する方法と、レジストリをバックアップおよび復元する方法を確認してください。

詳細な手順と追加のガイダンスについては、ブログ「サポート ヒント: Microsoft Intune 証明書での強力なマッピングの実装」を参照してください。

どのように準備できますか?

ハイブリッド参加済みユーザーまたはデバイスMicrosoft Entra SCEP または PKCS 証明書を使用する場合は、2025 年 2 月 11 日より前に次のいずれかのアクションを実行する必要があります。

最新の Intune App SDK と Intune App Wrapper for Android 15 のサポートに更新する

Android 15 をサポートするために、Android 用 Intune App SDK と Intune App Wrapping Toolの新しいバージョンが最近リリースされました。 アプリケーションが安全でスムーズに実行されるように、アプリを最新の SDK またはラッパー バージョンにアップグレードすることをお勧めします。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

Android 用の Intune App SDK または Intune App Wrapping Toolを使用するアプリケーションがある場合は、Android 15 をサポートするようにアプリを最新バージョンに更新することをお勧めします。

どのように準備できますか?

Android API 35 を対象とするアプリをビルドする場合は、新しいバージョンの Intune App SDK for Android (v11.0.0) を採用する必要があります。 アプリをラップし、API 35 を対象としている場合は、新しいバージョンのアプリ ラッパー (v1.0.4549.6) を使用する必要があります。

注:

注意してください。Android 15 を対象とする場合、アプリは最新の SDK に更新する必要があります。アプリは、Android 15 で実行するように SDK を更新する必要はありません。

また、SDK のサポートにこの変更を含めるために、該当する場合はドキュメントまたは開発者向けガイダンスを更新する予定です。

パブリック リポジトリを次に示します。

2024 年 10 月にユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行

2024 年 10 月、Intune では、次を含むユーザー ベースの管理方法で Android 10 以降がサポートされています。

  • 個人所有 Android Enterprise の仕事用プロファイル。
  • Android Enterprise の会社所有の仕事用プロファイル
  • 完全に管理されている Android Enterprise
  • Android オープン ソース プロジェクト (AOSP) ユーザー ベース
  • Android デバイス管理者
  • アプリ保護ポリシー
  • マネージド アプリのアプリ構成ポリシー (ACP)

今後、Android の最新の 4 つのメジャー バージョンのみをサポートするまで、毎年 10 月に 1 つまたは 2 つのバージョンのサポートを終了します。 この変更の詳細については、 2024 年 10 月のユーザー ベースの管理方法で Android 10 以降をサポートする Intune の移行に関するブログを参照してください。

注:

Android デバイス管理 (専用および AOSP ユーザーレス) と認定済み Android デバイスMicrosoft Teamsユーザーレスメソッドは、この変更の影響を受けることはありません。

この変更は、ユーザーやユーザーにどのような影響を与えますか?

ユーザーベースの管理方法 (上記に示すように) の場合、Android 9 以前を実行している Android デバイスはサポートされません。 サポートされていない Android OS バージョンのデバイスの場合:

  • Intune テクニカル サポートは提供されません。
  • Intune では、バグや問題に対処するための変更は行われません。
  • 新機能と既存の機能が機能することは保証されていません。

Intune では、サポートされていない Android OS バージョンでのデバイスの登録や管理は妨げられませんが、機能は保証されておらず、使用することは推奨されません。

どのように準備できますか?

該当する場合は、この更新されたサポート ステートメントについてヘルプデスクに通知します。 ユーザーへの警告またはブロックに役立つ次の管理者オプションを使用できます。

  • ユーザーに警告またはブロックするための最小 OS バージョン要件を持つ APP の 条件付き起動 設定を構成します。
  • デバイス コンプライアンス ポリシーを使用し、非準拠のアクションを設定して、非準拠としてマークする前にメッセージをユーザーに送信します。
  • 登録 制限を 設定して、古いバージョンを実行しているデバイスでの登録を禁止します。

詳細については、「 Microsoft Intune を使用してオペレーティング システムのバージョンを管理する」を参照してください。