82.2K Views
March 22, 23
スライド概要
IT 勉強向けの Microsoft 365 関連の勉強用資料です。
今回は 「Microsoft Intune」 を簡単をまとめました。
参考にしていただければ幸いです。
ナガシヨミ Microsoft 365 Microsoft Intune 概要 2023 年 4 月 タクヤ オータ
IT 勉強向けの資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ビジネス目的での使用はお控えください。m(_ _)m 2023 年 4 月 タクヤ オータ
環境の変化とテクノロジーの進化によるエンドポイント管理の変化 StatCounter Desktop vs Mobile vs Tablet Market Share Worldwide モバイル利用率の増加 以前はデバイスの管理と言えば Windows PC が中心でした。 現在ではスマートフォンを含むモバイルデバイスの使用率が増 加しており、場合によっては業務中もスマートフォンの利用の方 が多いパターンも増えています。 モバイル また様々なデバイスが業務に応じて選択できるようになり、IoT デバイスなども管理する必要がでてきています。 PC タブレット © 2023 タクヤ オータ https://gs.statcounter.com/platform-market-share/desktop-mobiletablet/worldwide/#monthly-200901-202302 3
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
Microsoft Intune クラウド型 –統合エンドポイント管理サービス モバイル デバイス管理 (MDM) Windows 10/11 や iOS, Android を一元管理 管理下のデバイスに対する、ポリシーの一括設定や ワイプや端末の探索などのアクションが可能 アプリの管理 (MAM) 端末やユーザーに応じたアプリの配布・設定が可能 またアプリ保護ポリシー対応アプリであれば、 さらに厳密にセキュリティ設定を行うことがが可能 ゼロトラスト セキュリティ (アクセス制御等) Azure AD の条件付きアクセスと連携し、 管理されたデバイスやポリシーに準拠したデバイスのみ アクセス可能といったような制御が可能 © 2023 タクヤ オータ 5
Microsoft Intune ファミリー Microsoft Configuration Manager オンプレミス (サーバー構築) クラウド サービス Windows の管理 マルチ プラットフォーム、BYOD 従来型の境界型防御 ゼロトラスト セキュリティ モデル 管理者によるきめ細かい制御 © 2023 タクヤ オータ Microsoft Intune 自動化を中心としたクラウドデータの活用 6
Microsoft Configuration Manager オンプレミス型 – Windows クライアント PC の詳細管理 クライアントの管理 ハードウェアの構成やソフトウェアの情報などを収集 クライアントに対してのポリシーや設定を実施 アプリケーション / 更新プログラムの配布 アプリケーション、ソフトウェア更新プログラムを 効率よく負荷を分散して配布をすることが可能 オペレーティング システムの安全でスケーラブルな展開 豊富なオプション機能 各種レポートの確認、コンプライアンス設定、 Microsoft Defender ウイルス対策の管理、 リモート ツールやクライアントへのアクションなど、 クライアント管理に必要な機能を利用可能 © 2023 タクヤ オータ 7
Microsoft Intune の前提条件 システム要件 ライセンス サポート OS • Android • iOS/iPadOS • Linux • macOS • Windows 10 / 11 • Chrome OS (プレビュー) 購入形態 • Intune スタンドアロンでの購入 • スイート (EMS, M365) での購入 ネットワーク • サービス URL へのアクセス デバイス ライセンス • 特定の 1 台のデバイス Microsoft Intune でサポートされているオペレー ティング システムとブラウザー | Microsoft Learn Microsoft Intune のネットワーク エンド ポイント | Microsoft Learn © 2023 タクヤ オータ ユーザーライセンス • 1 ユーザー 15 台まで利用可 ※ 機能制限あり Microsoft Intune を使用可能なライセンス | Microsoft Learn その他 Azure AD • Azure AD へのデバイス登録が必要 • 「条件付きアクセス」 など Azure AD Premium 機能を利用する場合には 別途ライセンスが必要 Intune アドオン • 様々な有償の追加機能あり • スタンドアロンもしくはスイート購入 Microsoft Intune のデバイスの登録ガイド | Microsoft Learn Intune Suite アドオン機能を使用する Microsoft Intune | Microsoft Learn 8
Microsoft Intune におけるソリューション デバイス管理を シンプルに統合 Microsoft Intune © 2023 タクヤ オータ • • • • 各種 OS への設定 様々なアプリの配布 各種レポート・分析 様々なデバイスへの対応 次世代の セキュリティに対応 • • • • ゼロトラスト セキュリティ モデル アプリケーション保護ポリシー 動的なアクセス制御 セキュリティ管理との統合 運用負荷とコストの 大幅削減 • • • • デバイス管理の簡易化 自動化やセルフサービス ベンダーの管理オーバーヘッド ライセンスコストを削減 9
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
Microsoft Intune におけるソリューション デバイス管理を シンプルに統合 Microsoft Intune © 2023 タクヤ オータ • • • • 各種 OS への設定 様々なアプリの配布 各種レポート・分析 様々なデバイスへの対応 次世代の セキュリティに対応 • • • • ゼロトラスト セキュリティ モデル アプリケーション保護ポリシー 動的なアクセス制御 セキュリティ管理との統合 運用負荷とコストの 大幅削減 • • • • デバイス管理の簡易化 自動化やセルフサービス ベンダーの管理オーバーヘッド ライセンスコストを削減 11
Windows macOS iOS / iPad Android Microsoft Intune - デバイス設定をシンプルに ❶ デバイスを登録 ❷ 構成の設定 管理者もしくはユーザーにより デバイスを Intune に登録 管理者によるポリシー設定 各項目の オン/オフ を指定 「ウイルス対策」 オン Azure AD のグループ情報を利用 ユーザー / デバイスのグループを指定 「ディスク暗号化」 オン Microsoft Intune 管理コンソール © 2023 タクヤ オータ ❸ 割り当て Microsoft Intune 管理コンソール 12
Windows macOS iOS / iPad Android Microsoft Intune - アプリの配布をシンプルに ❶ アプリを入手 Win32 ❷ 配信設定 ❸ インストール 管理者による配信設定 A. 自動的にインストール MSI Microsoft Store PowerShell B. 「ポータル アプリ」 から手動インストール App Store インストール コマンド 「必須」 or 「使用可能」 App VPP Microsoft Intune 管理コンソール ポータル アプリ © 2023 タクヤ オータ 13
Microsoft Intune の各種レポート機能 デバイス情報 / モニター ポリシーの適用状況やアプリの状況など 日々の運用で役立つ状況を確認 © 2023 タクヤ オータ レポート / 分析 ポリシーや更新、ウイルス対策などの状況 「エンドポイント分析」 という分析機能も Power BI / Graph API Intune のデータからカスタム レポートを作成 Intune 上のデータを取得することが可能 14
Windows macOS iOS / iPad Android Microsoft Intune – デバイスへのアクション アクションのリモート実行 デバイス アクションをリモートで実行可能 紛失したデバイスのデータの削除などが行える アクション 項目 アクション例 • • • • • ワイプ – 出荷時の既定の設定に 削除 – Intune ポータルからデバイスの削除 再起動 – デバイスの再起動 スキャン – ウイルス対策のスキャンの実行 ウイルス対策の更新 – 最新の定義ファイルに ※ OS / デバイスの種類によってアクション項目が異なります Intune を使用してデバイス アクションをリモートで実行する | Microsoft Learn © 2023 タクヤ オータ 15
Microsoft ならではの様々なデバイス管理にも対応 Windows 365 Surface 管理ポータル クラウド PC も簡単・自動的に展開 物理 PC と変わらないポリシー Surface のデバイス情報はもちろん 保証期限の確認や修理依頼も © 2023 タクヤ オータ Surface Hub / Teams Rooms Surface Hub や Teams Rooms などは Microsoft Intune による管理が必須 16
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
Microsoft Intune におけるソリューション デバイス管理を シンプルに統合 Microsoft Intune © 2023 タクヤ オータ • • • • 各種 OS への設定 様々なアプリの配布 各種レポート・分析 様々なデバイスへの対応 次世代の セキュリティに対応 • • • • ゼロトラスト セキュリティ モデル アプリケーション保護ポリシー 動的なアクセス制御 セキュリティ管理との統合 運用負荷とコストの 大幅削減 • • • • デバイス管理の簡易化 自動化やセルフサービス ベンダーの管理オーバーヘッド ライセンスコストを削減 18
Microsoft Intune によるセキュリティ設定管理 エンドポイント セキュリティ レポート Defender for Endpoint OS のセキュリティ各種設定や 「セキュリティ ベースライン」 といった Microsoft 推奨設定も用意 ウイルス対策エージェントの状態や 24 時間以内で検出されたマルウェア ファイア ウォールの状態のレポートも Defender for Endpoint (別ライセンス) の 展開やリスクレベルに応じた条件付きアクセス セキュリティタスクの管理などの連携が可能 © 2023 タクヤ オータ 19
Windows macOS iOS / iPad Android Microsoft Intune - コンプライアンス ポリシー ❶ ポリシー設定 デバイスのコンプライアンスを設定 OS のアップデート ウイルス対策の有効化 パスワード文字数など Microsoft Intune 管理コンソール © 2023 タクヤ オータ ❷ アクションの指定 非準拠の場合のアクションを指定 ❸ 監視とアクション 状況に応じてアクションを実行 メール通知 リモートロック デバイスの削除 Microsoft Intune 管理コンソール メール通知 プッシュ通知 20
Microsoft のゼロトラスト アーキテクチャ ユーザー ID データ 組織のポリシー アクセスを許可 動的な アクセス制御 MFA を要求 動的なポリシー評価 制限付きアクセス デバイス アプリ アクセスをブロック 脅威インテリジェンス インフラ ネットワーク 可視化 自動化 © 2023 タクヤ オータ オーケストレーション 21
Windows macOS iOS / iPad Android コンプライアンス ポリシーと Azure AD “条件付きアクセス” の連携 条件付きアクセス デバイス登録済み ポリシー準拠 デバイス未登録 アップデートしていない © 2023 タクヤ オータ クラウド アプリ 22
Windows macOS iOS / iPad Android コンプライアンス ポリシーと Azure AD “条件付きアクセス” との連携 ❶ ポリシー設定 デバイスのコンプライアンスを設定 ❷ 条件付きアクセス設定 非準拠の場合のアクションを指定 ❸ アクセス制御 状況に応じてアクセスをブロック OS のアップデート ウイルス対策の有効化 パスワード文字数など 「準拠している」 を アクセス条件に指定 Microsoft Intune 管理コンソール © 2023 タクヤ オータ Microsoft Intune 管理コンソール (Azure AD 管理コンソールでも可) クライアントからクラウド アプリへアクセス 23
iOS / iPad Android Microsoft Intune - アプリ保護ポリシー (APP) 企業データの保護 デバイス内の個人アプリにコピーされたり、 貼り付けられたりすることを防止 BYOD シナリオにも 個人用デバイスの利用シナリオをサポート デバイス登録の有無にかかわらず制御も可能 コピー&ペーストや データ保存を禁止 管 ア 理 プ 対 リ 象 個 人 ア プ リ 条件付き起動 アプリ起動時に PIN の入力を求めたり、 起動のための OS バージョンの指定なども可能 状況によってブロックやワイプも可能 サポートされている Microsoft Intune アプリ | Microsoft Learn © 2023 タクヤ オータ 24
ナガシヨミ Microsoft 365 Microsoft Intune 概要 Defender for Endpoint (MDE) との連携
Windows macOS iOS / iPad Android Microsoft Defender for Endpoint クラウド型 – セキュリティの統合管理と保護 業界トップの脅威インテリジェンス 1 日あたり 25 億件のエンドポイント クエリー、毎秒 921 件の パスワード攻撃に対するブロックなどを含め、日々 43 兆件 以上のシグナルを処理したデータを活用した保護 脅威の可視化と自動対処 関連するインシデントの一括管理や脆弱性の管理 高度な振る舞い検知や機械学習、自動対処を実現 Microsoft 365 製品連携 Microsoft Intune や Azure AD をはじめとした、 Microsoft 365 製品や Microsoft Sentinel との連携 © 2023 タクヤ オータ 26
Microsoft Intune と Defender for Endpoint の連携 1 セキュリティ管理者 ❶ 脆弱性のあるアプリを検知 IT 管理者 ❷ アプリのアップデートを配布 Intune 管理者の タスクとして登録 Intune 管理者に 修正要求 Defender for Endpoint © 2023 タクヤ オータ Microsoft Intune 27
Microsoft Intune と Defender for Endpoint の連携 2 組織のポリシー設定 OS バージョン コンプライアンス準拠 リスク評価 Microsoft Intune © 2023 タクヤ オータ リスク レベル 不振な振る舞い 悪意のあるアプリ 脆弱性の監視 Defender for Endpoint 28
Windows コンプライアンス ポリシーと ”条件付きアクセス” + MDE の連携 条件付きアクセス 安全なデバイス リスクレベル低 危険なデバイス リスクレベル高 © 2023 タクヤ オータ クラウド アプリ 29
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
Microsoft Intune におけるソリューション デバイス管理を シンプルに統合 Microsoft Intune © 2023 タクヤ オータ • • • • 各種 OS への設定 様々なアプリの配布 各種レポート・分析 様々なデバイスへの対応 次世代の セキュリティに対応 • • • • ゼロトラスト セキュリティ モデル アプリケーション保護ポリシー 動的なアクセス制御 セキュリティ管理との統合 運用負荷とコストの 大幅削減 • • • • デバイス管理の簡易化 自動化やセルフサービス ベンダーの管理オーバーヘッド ライセンスコストを削減 31
デバイスのライフサイクルを効率良く管理 ❶ プロビジョニング 様々なデバイスを簡単に展開 ❶ プロビジョニング ❻ デバイスの解除 ❷ デバイスの構成 Microsoft Intune によるポリシー設定 ベースライン、コンプライアンス設定 ❷ デバイスの構成 Microsoft Intune ❺ デバイスの更新 ❸ セキュリティ設定 ❹ デバイスの使用 © 2023 タクヤ オータ ❸ セキュリティ設定 Azure AD 条件付きアクセスの設定 アプリ保護ポリシーや MDE の展開 ❹ デバイスの使用 レポートやパフォーマンスの分析 セルフサービスで生産性と IT 部門の負荷を減らす ❺ デバイスの更新 クラウドや自動更新機能を利用し、 強固なセキュリティと IT 部門の負荷軽減を両立 ❻ デバイスの削除 ワイプやリタイヤによる会社データの削除 Autopilot リセットといった機能ですぐに再利用も 32
Microsoft Intune によるプロビジョニング例 Windows Windows Autopilot による自動展開 Azure AD 参加による自動登録 ユーザーによる自動展開 macOS ABM を利用した自動展開 ユーザーによる手動登録 iOS / iPadOS ABM を利用した自動展開 ユーザーによる手動登録 Android Android Enterprise による自動展開 ユーザーによる手動登録 • Windows Autopilot • Apple School Manager (ASM) • Apple School Manager (ASM) • Android Enterprise • Azure AD による自動登録 • Apple Business Manager (ABM) • Apple Business Manager (ABM) • Intune ポータル サイト アプリ • [設定] からの登録 • Apple Configurator • Apple Configurator • Intune ポータル サイト アプリ • Intune ポータル サイト アプリ © 2023 タクヤ オータ 33
Windows Windows Autopilot ❶ デバイス登録 ❷ デバイス / アプリ設定 ❸ 自動展開 OEM メーカーに依頼 Microsoft Intune による設定 初回起動時に自動設定 OEM によって最適化された 標準 Windows OS イメージ © 2023 タクヤ オータ Microsoft 365 アプリ 業務アプリ ポリシー等の設定 品質更新プログラム 機能更新プログラム ユーザー データ 業務ですぐに 利用できるデバイス 34
従来型のキッティング Autopilot OS のインストール 出荷 OS イメージ (カスタマイズ無し) 手作業が必要な個別設定 マスター イメージ化 事前作業 自動インストールができないドライバー・アプリ OS エディションのアップグレード OS の各種設定 (ポリシーやスクリプトなど) OS の各種設定 (ポリシーやスクリプトなど) アプリケーションインストール アプリケーションインストール ドライバー・更新プログラム (Windows Update) ドライバー・更新プログラム (Windows Update) 証明書 証明書 Wi-Fi / VPN の接続プロファイル Wi-Fi / VPN の接続プロファイル (サイレントインストール対応アプリ) (サイレントインストール対応アプリ) 管理インフラへの参加 管理インフラへの参加 ユーザーに応じた設定等 ユーザーに応じた設定等 事後作業 © 2023 タクヤ オータ Microsoft Intune 自動設定 インターネット経由 * オプションにより、 LAN 経由による事前 ダウンロードも可 35
デバイスのライフサイクルを効率良く管理 ❶ プロビジョニング 様々なデバイスを簡単に展開 ❶ プロビジョニング ❻ デバイスの解除 ❷ デバイスの構成 Microsoft Intune によるポリシー設定 ベースライン、コンプライアンス設定 ❷ デバイスの構成 Microsoft Intune ❺ デバイスの更新 ❸ セキュリティ設定 ❹ デバイスの使用 © 2023 タクヤ オータ ❸ セキュリティ設定 Azure AD 条件付きアクセスの設定 アプリ保護ポリシーや MDE の展開 ❹ デバイスの使用 レポートやパフォーマンスの分析 セルフサービスで生産性と IT 部門の負荷を減らす ❺ デバイスの更新 クラウドや自動更新機能を利用し、 強固なセキュリティと IT 部門の負荷軽減を両立 ❻ デバイスの削除 ワイプやリタイヤによる会社データの削除 Autopilot リセットといった機能ですぐに再利用も 36
エンドポイント分析 - プロアクティブな修復 ユーザーのデバイスに関する一般的なサポートの問題を、 ユーザーが問題の存在に気付く前に検出して修正する ことができるスクリプト パッケージを実行 スクリプトを 24 時間ごとに再実行 独自のスクリプト パッケージを作成 Microsoft が利用してるスクリプトも チュートリアル - プロアクティブな修復 - Microsoft Endpoint Manager | Microsoft Docs プロアクティブな修復のための PowerShell スクリプト Microsoft Endpoint Manager | Microsoft Docs © 2023 タクヤ オータ 37
セルフサービスで生産性を高め IT 部門の負荷を減らす 企業ポータルを使って、ユーザーが自由にデバイスの登録/登録解除 BYOD シナリオにも対応 組織に必要な SaaS やパブリック ストア アプリの追加 セルフサービス パスワードや PIN のリセットで、 ユーザーの時間とヘルプデスクのコストを削減 IT 部門を通さずにグループ参加および管理が可能 © 2023 タクヤ オータ 38
デバイスのライフサイクルを効率良く管理 ❶ プロビジョニング 様々なデバイスを簡単に展開 ❶ プロビジョニング ❻ デバイスの解除 ❷ デバイスの構成 Microsoft Intune によるポリシー設定 ベースライン、コンプライアンス設定 ❷ デバイスの構成 Microsoft Intune ❺ デバイスの更新 ❸ セキュリティ設定 ❹ デバイスの使用 © 2023 タクヤ オータ ❸ セキュリティ設定 Azure AD 条件付きアクセスの設定 アプリ保護ポリシーや MDE の展開 ❹ デバイスの使用 レポートやパフォーマンスの分析 セルフサービスで生産性と IT 部門の負荷を減らす ❺ デバイスの更新 クラウドや自動更新機能を利用し、 強固なセキュリティと IT 部門の負荷軽減を両立 ❻ デバイスの削除 ワイプやリタイヤによる会社データの削除 Autopilot リセットといった機能ですぐに再利用も 39
Windows Windows の更新管理 クラウド オンプレミス Configuration Manager (CM) • サーバー設置型の PC 管理製品 • 別途 MECM 用ライセンスが必要 • 配信動作に詳細な制御が可能 Windows Update Server Service (WSUS) • Windows Server の標準機能 • Windows Server 利用ライセンス • 配信する更新プログラムを選択 Windows Update (WU) Windows Update for Business (WUfB) • インターネット上のサービス • 無償にて利用が可能 • 常に最新にアップデート • Windows Update を利用 • 無償にて利用が可能 • 管理者によって タイミングを制御 Windows Update for Business 展開サービス Windows Autopatch Intuneによる制御 による制御 Intune © 2023 タクヤ オータ 40
Windows Windows Update for Business 展開サービス Windows Update for Business の拡張版で、 Windows Update から配信される更新プログラムの承認、 スケジュール、および保護に関する制御を提供 ライセンス Windows Enterprise E3 一般的 A. Microsoft Intune 使用方法 B. PowerShell で制御 C. API を使用してアプリを開発 Windows Update for Business 展開サービス Windows Deployment | Microsoft Docs © 2023 タクヤ オータ 41
Windows Windows Autopach Windows と Microsoft 365 のエコシステムを活用して、 アップデート展開を最適化し、常に最新の状態で提供する 新たに設計されたサービス ライセンス Windows Enterprise E3 ※ A3 / F3 は対象外 Microsoft Intune Azure AD Premium 更新プログラム – 管理対象 © 2023 タクヤ オータ Windows Microsoft 365 Apps Microsoft Edge Microsoft Teams 42
Windows Windows 更新プログラム管理の自動化 Windows Autopatch 最新化と その状態の維持を簡単に 希少な IT リソースの関与を 最小限に抑えることができます © 2023 タクヤ オータ ユーザー 更新プログラムの評価と選択 Microsoft 更新プログラムのリリース スケジュールの策定と実行 更新プログラムの展開 テスト用リングの決定と維持 更新プログラムの監視、一時停止、 ロールバック 43
Windows Windows 更新プログラム管理の自動化 Windows Autopatch 最新化と その状態の維持を簡単に ユーザー 新しいエンドポイントの登録 Microsoft 更新プログラムのリリース 更新プログラムの評価と選択 スケジュールの策定と実行 更新プログラムの展開 テスト用リングの決定と維持 希少な IT リソースの関与を 最小限に抑えることができます © 2023 タクヤ オータ 更新プログラムの監視、一時停止、 ロールバック 44
Windows Autopatch による自動設定・運用 デバイスの登録 ❶ 4 つのグループの自動生成とデバイスの登録 Test First Fast Broad ❷ 各構成プロファイルの自動作成・自動調整 Windows • • • • • • Update 設定 テレメトリ設定 Update Test Update First Update Fast Update Broad Edge • Update 設定 • Channel Beta • Channel Stable Teams M365 Apps • • • • • Office 設定 Update Test Update First Update Fast Update Broad • Office 設定 ❸ 登録されたデバイスの自動監視・アップデート Test © 2023 タクヤ オータ First Fast Broad 45
デバイスのライフサイクルを効率良く管理 ❶ プロビジョニング 様々なデバイスを簡単に展開 ❶ プロビジョニング ❻ デバイスの解除 ❷ デバイスの構成 Microsoft Intune によるポリシー設定 ベースライン、コンプライアンス設定 ❷ デバイスの構成 Microsoft Intune ❺ デバイスの更新 ❸ セキュリティ設定 ❹ デバイスの使用 © 2023 タクヤ オータ ❸ セキュリティ設定 Azure AD 条件付きアクセスの設定 アプリ保護ポリシーや MDE の展開 ❹ デバイスの使用 レポートやパフォーマンスの分析 セルフサービスで生産性と IT 部門の負荷を減らす ❺ デバイスの更新 クラウドや自動更新機能を利用し、 強固なセキュリティと IT 部門の負荷軽減を両立 ❻ デバイスの削除 ワイプやリタイヤによる会社データの削除 Autopilot リセットといった機能ですぐに再利用も 46
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
特定シナリオ対応と拡張機能 特定シナリオ対応 Intune アドオン クラウドへのスムーズなシフト 共同管理 証明書の配布 証明書コネクター オンプレミスリソースへのアクセス Microsoft Tunnel リモート ヘルプ MAM 用の MS Tunnel エンドポイント 特権管理 高度な アプリ管理 特殊なデバイスの 管理 高度な エンドポイント分析 複数アカウントの 管理 クラウド 証明書管理 共有デバイスの管理 各 OS の共有デバイス設定 © 2023 タクヤ オータ 48
Windows オンプレミスからクラウドへのスムーズなシフト – 共同管理 Microsoft Configuration Manager オンプレミス (サーバー構築) クラウド サービス Windows の管理 マルチ プラットフォーム、BYOD 従来型の境界型防御 ゼロトラスト セキュリティ モデル 管理者によるきめ細かい制御 © 2023 タクヤ オータ Microsoft Intune 自動化を中心としたクラウドデータの活用 49
Windows macOS iOS / iPad Android 証明書の配布 - Microsoft Intune 証明書コネクタ Intune では以下の証明書の配布が可能 • SCEP • PKCS • インポートされた PKCS Microsoft の証明機関を使用する場合 • オンプレミス AD CS を構築 • 任意の Windows Server に 「Certificate Connector for Microsoft Intune」 をインストール サードパーティの証明機関を使用する場合 Intune をサポートしている証明機関パートナーから選択 Microsoft Intune で SCEP にサード パーティの証明機関 (CA) を使用する | Microsoft Learn Microsoft Intune で SCEP にサード パーティの証明機関 (CA) を 使用する | Microsoft Learn © 2023 タクヤ オータ 50
iOS / iPad Android オンプレミス リソースへのアクセス – Microsoft Tunnel Linux 上のコンテナーで実行される Microsoft Intune 用の VPN ゲートウェイ ソリューション。先進認証と条件付きアクセ スを使用して、iOS/iPadOS デバイスや Android デバイスから オンプレミスのリソースへのアクセスを可能に オンプレミス or クラウド • 基本 VPN • アプリごとの VPN • 常時接続 VPN 前提条件 • コンテナーを実行する Linux サーバー • Tunnel Gateway Linux サーバー用 TLS 証明書 • iOS / Android クライアント デバイス登録を伴わない MAM 用 VPN は 別途アドオンで提供 Microsoft Intune で SCEP にサード パーティの証明機関 (CA) を使用する | MicrosoftIntune Learn 用の Microsoft Tunnel VPN ソリューションについて Microsoft | Microsoft Learn © 2023 タクヤ オータ 51
共有デバイスの管理 – 各 OS の共有デバイス機能を有効化 Windows 共有 PC モード iPadOS 共有 iPad iOS / iPadOS 共有デバイス モード Android 共有デバイス モード Windows 10/11 の機能 iPadOS の機能 Azure AD の機能 Azure AD の機能 “共有 デバイスモード” を有効にすると、 対応したアプリに対してサインイン / サイン アウトの連動やデータの削除が可能 “共有 デバイスモード” を有効にすると、 Azure AD のアカウントでのサインインやサ インアウトをすることが可能 “共有 PC モード” を有効にすると、ゲスト ユーザーの利用や、ユーザープロファイルの 自動削除による容量削減などが可能に “共有 iPad” を有効にすると、ユーザーご とにサインインをし、それぞれユーザー領域 を持ってデバイスの使用が可能 ストレージの確保や、サインイン時のダウン ロードに備えコンテンツキャッシュサーバーの 用意などインフラの考慮必要あり Windows 10/11 共有デバイス設定 Microsoft Intune | Microsoft Learn © 2023 タクヤ オータ 共有 iPad デバイス - Microsoft Intune | Microsoft Learn “共有デバイス モード” に対応した アプリを別途開発する必要あり 別途 “共有デバイス モード” に対応した アプリを別途開発する必要あり Microsoft Teams は対応済み、Edge や Outlook、 Power Apps はプレビュー iOS デバイスの共有デバイス モード Microsoft Entra | Microsoft Learn Android デバイスの共有デバイス モード Microsoft Entra | Microsoft Learn 52
ナガシヨミ Microsoft 365 Microsoft Intune 概要 Intune アドオン
今後も様々なソリューションを提供 - Intune アドオン リモート ヘルプ モバイル アプリ 管理用の Microsoft Tunnel 特殊なデバイスの管理 高度なエンドポイント分析 Web Web Web Web GA GA GA 2023/3 GA 高度なアプリ管理 複数アカウントの管理 2023/5 Preview 2023 後半 GA エンドポイント特権管理 2023/4 GA © 2023 タクヤ オータ クラウド証明書管理 2023 後半 Preview 54
Windows Intune アドオン 1 - リモート ヘルプ インターネット経由の安全なリモート接続 デバイスがどこにあっても、権限に基づいた 安全なリモート アシスタンスを提供 • • • • ロールベースのアクセス制御 ポリシー準拠のチェック 特権の昇格 使用レポート 前提条件 • Windows 10/11 (Android, mac は対応予定) • リモート ヘルプ アプリを個別にインストール 組織によって認証されたユーザーをリモートで 支援します。 | Microsoft Learn © 2023 タクヤ オータ 55
今後も様々なソリューションを提供 - Intune アドオン リモート ヘルプ モバイル アプリ 管理用の Microsoft Tunnel 特殊なデバイスの管理 高度なエンドポイント分析 Web Web Web Web GA GA GA 2023/3 GA 高度なアプリ管理 複数アカウントの管理 2023/5 Preview 2023 後半 GA エンドポイント特権管理 2023/4 GA © 2023 タクヤ オータ クラウド証明書管理 2023 後半 Preview 56
iOS / iPad Android Intune アドオン 2 - モバイル アプリ 管理 (MAM) 用の Microsoft Tunnel Microsoft Tunnel を使用する際に、モバイル アプリ 管理 (MAM) を追加することで Tunnel のサポートを拡張。 Microsoft Intune に登録されていないデバイスをサポート オンプレミス or クラウド 前提条件 • Microsoft Tunnel デプロイしていること • Android Enterprise バージョン 10.0 以降 • iOS バージョン 14.0 以降 モバイル アプリケーション管理での Microsoft Tunnel の使用について 説明します | Microsoft Learn © 2023 タクヤ オータ 57
今後も様々なソリューションを提供 - Intune アドオン リモート ヘルプ モバイル アプリ 管理用の Microsoft Tunnel 特殊なデバイスの管理 高度なエンドポイント分析 Web Web Web Web GA GA GA 2023/3 GA 高度なアプリ管理 複数アカウントの管理 2023/5 Preview 2023 後半 GA エンドポイント特権管理 2023/4 GA © 2023 タクヤ オータ クラウド証明書管理 2023 後半 Preview 58
Intune アドオン 3 - 特殊なデバイスの管理 「特殊なデバイス」 とは Intune によって管理されるデバイスは、次の要件の少なくとも 1 つを満たしている場合、特殊デバイスとして分類される 要件 • • • • サイズが 30 インチを超える大きなスマート スクリーン デバイス AR/VR ヘッドセット ウェアラブル ヘッドセット 電話会議、ワイヤレス画面共有、またはビデオ会議に統合された エクスペリエンスを提供するソフトウェア ベースの会議室システムで ある会議室会議デバイス ※ Microsoft Teams Rooms デバイスや Surface Hub は Microsoft Teams Room Pro ライセンスがあれば必要なし Microsoft Intuneを使用して特殊デバイスを管理する | Microsoft Learn © 2023 タクヤ オータ 59
今後も様々なソリューションを提供 - Intune アドオン リモート ヘルプ モバイル アプリ 管理用の Microsoft Tunnel 特殊なデバイスの管理 高度なエンドポイント分析 Web Web Web Web GA GA GA 2023/3 GA 高度なアプリ管理 複数アカウントの管理 2023/5 Preview 2023 後半 GA エンドポイント特権管理 2023/4 GA © 2023 タクヤ オータ クラウド証明書管理 2023 後半 Preview 60
Windows Intune アドオン 4 - 高度なエンドポイント分析 Intune アドオンとして 「エンドポイント分析」 のさらに 高度な機能を提供 カスタム デバイス スコープ スコープ タグ を使用してエンドポイント分析レポートを デバイスのサブセットにスライス可能 異常検出 構成変更後のユーザー エクスペリエンスと生産性の 低下について、組織内のデバイスの正常性を監視 拡張されたデバイス タイムライン 特定のデバイスで発生したイベントの履歴を表示可能に 高度なエンドポイント分析とは - Microsoft Endpoint Manager | Microsoft Learn © 2023 タクヤ オータ 61
今後も様々なソリューションを提供 - Intune アドオン リモート ヘルプ モバイル アプリ 管理用の Microsoft Tunnel 特殊なデバイスの管理 高度なエンドポイント分析 Web Web Web Web GA GA GA 2023/3 GA 高度なアプリ管理 複数アカウントの管理 2023/5 Preview 2023 後半 GA エンドポイント特権管理 2023/4 GA © 2023 タクヤ オータ クラウド証明書管理 2023 後半 Preview 62
Windows Intune アドオン 5 - エンドポイント特権管理 「標準ユーザー」 の昇格を制御 特定の承認済みアプリを、管理者権限で実行 することを許可する • 必要な場合のみ特権昇格 • 規則やルールの設定 • 自動承認などのオプション ユーザーが実行時に 特権昇格を申請 リリース予定 2023/4 上 : パブリック プレビュー 2023/4 下 : 一般提供 Enable Windows standard users with Endpoint Privilege Management in Microsoft Intune - Microsoft Community Hub © 2023 タクヤ オータ 63
Microsoft Intune の新しいプラン Intune Plan 1 Intune のコア機能 • モバイル デバイス管理 (MDM) • モバイル アプリ管理 (MAM) • ビルトイン エンドポイント セキュリティ • エンドポイント分析 • Configuration Manager Intune Plan 2 Intune Plan 1 すべての機能 Intune Plan 1 すべての機能 Intune Plan 2 すべての機能 • MAM 用の Microsoft Tunnel • 特殊なデバイスの管理 © 2023 タクヤ オータ Intune Suite • • • • • • • Intune Plan 2 全ての機能 リモート ヘルプ エンドポイント特権管理 高度なエンドポイント分析 高度なアプリ管理 クラウド証明書管理 今後のリリースで追加される予定の機能 64
まとめ - 特定シナリオ対応と拡張機能 特定シナリオ対応 Intune アドオン クラウドへのスムーズなシフト 共同管理 証明書の配布 証明書コネクター オンプレミスリソースへのアクセス Microsoft Tunnel リモート ヘルプ MAM 用の MS Tunnel エンドポイント 特権管理 高度な アプリ管理 特殊なデバイスの 管理 高度な エンドポイント分析 複数アカウントの 管理 クラウド 証明書管理 共有デバイスの管理 各 OS の共有デバイス設定 © 2023 タクヤ オータ 65
ナガシヨミ Microsoft 365 Microsoft Intune 概要 1. 2. 3. 4. 5. 6. Microsoft Intune 概要 デバイス管理をシンプルに統合 次世代のセキュリティに対応 運用負荷とコストの大幅削減 特定シナリオ対応と拡張機能 まとめ
Microsoft Intune クラウド型 –統合エンドポイント管理サービス モバイル デバイスの管理 (MAM) Windows 10/11 や iOS, Android を一元管理 管理下のデバイスに対する、ポリシーの一括設定や ワイプや端末の探索などのアクションが可能 アプリの管理 (MAM) 端末やユーザーに応じたアプリの配布・設定が可能 またアプリ保護ポリシー対応アプリであれば、 さらに厳密にセキュリティ設定を行うことがが可能 ゼロトラスト セキュリティ (アクセス制御等) Azure AD の条件付きアクセスと連携し、 管理されたデバイスやポリシーに準拠したデバイスのみ アクセス可能といったような制御が可能 © 2023 タクヤ オータ 67
Microsoft Intune におけるソリューション デバイス管理を シンプルに統合 Microsoft Intune © 2023 タクヤ オータ • • • • 各種 OS への設定 様々なアプリの配布 各種レポート・分析 様々なデバイスへの対応 次世代の セキュリティに対応 • • • • ゼロトラスト セキュリティ モデル アプリケーション保護ポリシー 動的なアクセス制御 セキュリティ管理との統合 運用負荷とコストの 大幅削減 • • • • デバイス管理の簡易化 自動化やセルフサービス ベンダーの管理オーバーヘッド ライセンスコストを削減 68
Microsoft Intune 参考情報 © 2023 タクヤ オータ Intune ドキュメント Intune ブログ Intune 価格 Click here Click here Click here 69
ナガシヨミ Microsoft 365 Microsoft Intune 概要 END 2023 年 4 月 タクヤ オータ