Microsoft Intuneで会社のパソコン・スマホの管理をクラウドサービスで行う!
ITサポートのプロ集団、Kawatec(カワテック)によるコラム。今回は、Microsoft Intuneの導入設定についてご紹介します。
Microsoft Intuneとは?
シンガポールの日系企業様でもコロナ渦でテレワークが普及し、iPhoneやAndroidのスマートフォン、ノートPC、タブレットなどのモバイルデバイスの利用が拡大しています。デバイスの種類が増えると、管理が煩雑になりデータ漏えいなどのリスクが拡大するため、企業で定めたセキュリティポリシーへの準拠や、データ保護対策が企業の課題となってきています。Microsoft Intune(マイクロソフト・インチューン)を使用すれば、モバイルデバイス管理(MDM)と、モバイルアプリの管理(MAM)を同時に行うことができ、それらの課題に対応することができます。
Microsoft Intuneでデバイス管理をする仕組み
IntuneはAzure ADと統合されています。そのため、Intuneにデバイスを登録すると同時にAzure ADにもデバイス登録をすることになります。
Azure ADへのデバイス登録には2種類あり、デバイス情報の登録のみを行う「Azure AD登録」とAzure ADにドメイン参加も行う「Azure AD参加」があります。
Microsoftが提示している使い分けとしては、Azure AD登録は個人所有のデバイスを会社に持ち込んで活用する「Bring Your Own Device(BYOD)」を想定しており、会社で管理しているデバイスであれば、Azure AD参加を行うのが一般的です。
Intuneにデバイスを登録する2つのパターンを表にまとめると、以下のようになります。
Intuneで出来ることは?
実際にIntuneで出来る主な機能を4つご紹介します。
- デバイスの管理とインベントリ収集
- アプリケーション管理
- デバイスのコンプライアンスポリシー準拠の管理
- デバイスの更新プログラム管理
デバイスの管理とインベントリ収集
Intuneに登録できるデバイスは端末の種別やOSに縛られず、単一のポータル上で一元管理が可能です。
Intuneに登録できるデバイスは下記となります。
- Windows 10以降
- Mac OS X 10.13以降
- Apple iOS 12.0以降
- Apple iPad OS 13.0以降
- Android OS 5.0以降
Intuneにデバイスを登録すると、登録されたデバイスに対して次のようなアクションをリモートで行うことができるようになります。
- パスワードリセット
- デバイスロック
- リモートワイプ(遠隔消去)
- BitLocker回復キー発行(Windows 10のみ)
- 再起動(Windows 10のみ)
- 紛失モード(iOSのみ)
またIntuneの管理画面からは、登録された全てのデバイス名やシリアル番号およびIMEI、そしてデバイスの所有者やOSバージョンなどの情報が閲覧でき、会社のコンプライアンスポリシーに準拠していないデバイスの抽出もできます。
アプリケーション管理
業務に必要なアプリケーションを管理対象デバイスに対して配布および管理する機能です。Intuneで管理する端末に対して、Microsoft ストアアプリやiOS ストアアプリなどのストアアプリの配信、Webアプリ(Webアプリへのショートカット)の配布を行うこともできます。また、アプリケーションのインストールを割り当てたデバイスにおいて、たとえば正常にアプリケーションがインストール完了したかどうかのレポートなども確認することができます。アプリケーションをIntuneでデバイスに割り当てると、アプリケーションのインストールはデバイス上でネットワークを通して自動的に行われるため、ITスタッフの業務負荷軽減にも繋がります。
Intuneでアプリ自動配信ができるものは下記のようなアプリです。
- ストアアプリ(Microsoft, Android, Apple, Google Play など)
- Microsoft 365関連のアプリケーションなど
- ERPなど基幹業務アプリ、組み込みアプリ、Win32アプリなど
- WEBアプリ(WEB上にあるアプリケーションのリンク)
デバイスのコンプライアンスポリシー準拠の管理
コンプライアンス ポリシーとは Intune で管理されているデバイスのセキュリティ対策状態が組織のルールを満たしているかどうかを確認できる機能です。
例えば下記のように会社が決めたセキュリティ対策が守られているかを確認できます。
- パソコンディスクの暗号化がされているか
- ウイルス対策は行われているか
- 指定したバージョン以上の OS が利用されているか
ルールに準拠していない場合はユーザーに通知し、会社情報のデータを保護するため、Intune上でモバイルデバイスをブロックできます。デバイスのセキュリティポリシーで設定できる項目の例は以下です。
- BitLockerの有効/無効
- OSのバージョンの指定
- デバイスロック解除のパスワード有効/無効
- 単純なパスワード(1234や1111など)のブロック
- パスワードの複雑さ・最小文字数の設定
- パスワードの有効期限
- ファイアウォール・ウイルス対策・スパイウェア対策の有効/無効
作成したデバイスのコンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用されます。そしてIT管理者は、Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できます。
デバイスの更新プログラム管理
Intune に登録されたパソコンは更新プログラムを適用するタイミングやドライバーの更新許可などWindows Updateに関する管理が行えます。組織で更新プログラムのインストールタイミングをコントロールすることで、定めた期間に更新プログラムを適用させることができるため、IT スタッフの運用管理負担を減らすことができます。
Microsoft Intuneの導入設定はカワテックにお任せ!
KawatecではMicrosoft Intuneを含めたMicrosoft 製品に関する導入・サポートサービスを行っております。ご質問等なんでもお気軽にお問い合わせくださいませ。日本人スタッフが対応させていただきます。ご相談・お見積りは無料にて承っております。
2007年に設立したITサポートのプロ集団。日本を離れ、シンガポールに進出した法人様が安心して業務に打ち込める環境をサポートしたい想いで、親身なITサポートサービスを続けてきました。パソコンの導入・修理・サポート、サーバー、ネットワーク構築、LAN構築から電話回線引き込みまで、業務に欠かせないオフィスのIT環境のすべてにワンストップで対応します。
Kawatec
- 店名:Kawatec(カワテック)
- アクセス:420 North Bridge Rd. #03-20 North Bridge Centre, (S)188727
- 電話番号:6743-4530
- ホームページ:Kawatec
- Email:info@kawatec.com
コラム
専門家による連載コラム。 シンガポールでのビジネスや生活で役立つ内容をわかりやすく解説。お役立ち情報が満載です。