Intuneについて - pikesaku’s blog

参考URLごとのメモ

安井智志のコラム「EMS」って具体的に何ができるの？最新EMSが提供する機能と使い方のポイント | ディーアイエスサービス＆ソリューションSI事例サイト

IntuneはEMSを実現する為に必要なサービス
EMSはEnterprise Mobility ＋Securityの略
クラウドアクセスのセキュリティ強化やエンドポイントのデバイス管理が主な機能

　①クラウドアクセスセキュリティ
　②モバイルデバイス管理
　③モバイルアプリケーション管理
　④ファイル暗号化
　⑤オンプレミス振る舞い検知

クラウドサービスをこれまで以上に業務で活用して、「働き方を大きく見直していこう！」とする場合、まず必要になる前提は、「場所を問わず」「マルチデバイスで」「セキュアに」「使い易く」。この考え方がベース。

Microsoft Intuneとは？仕組みや機能、導入のメリットを紹介 | コラム | トピックス | パシフィックネットは法人のPCレンタル～運用保守～データ消去等で法人のIT戦略をトータルアシストします

Intuneは、ユーザーが使用するデバイスを安全に管理し、かつセキュリティ対策も行う為のMDM(モバイルデバイス管理)ツール。
サーバーに接続するデバイスの制御やアプリの管理、セキュリティ対策などを効率的に行うことが可能。

具体的にできる事は以下。

デバイス管理

　Microsoft Intuneにデバイスを登録することで、どの従業員がどのデバイスを利用しているか管理できる。

更新プログラムの管理

　更新が実行されているか管理できる。

暗号化によるセキュリティ対策

　データのやりとりを暗号化

アプリケーション管理

　デバイスにインストールできるアプリや、使用できるアプリを制限することが可能

利用するには、管理するデバイスにソフトウェアをインストールする必要あり。

Intuneのメリットは以下

さまざまなOSに対応
個人用デバイスをセキュアに業務使用できる。

　プライベートのアプリと切り離して会社のネットワークに接続が可能
　リモートからデバイスを初期状態にしたり、業務データを消去したりできる。

サーバーの維持・管理コストが不要

　クラウドサービスのため、運用管理費などのコスト削減につながる

Enterprise Mobility + Security | ディーアイエスサービス＆ソリューションSI事例サイト | Page 2

場所は社内か社外か、どんなデバイスから、どんな認証方法で、どのアプリケーションを利用するか、等の条件付けが可能

ユーザ単位・アプリケーション単位で、さまざまな条件付きアクセス、シングルサインオンが実現

管理対象としたアプリとその他アプリ間でのデータの受け渡し（コピー/切り取り/貼り付け/保存などの操作）を制御

従来のZIP暗号化ではないセキュアなデータ保護を実現

デバイス管理とモバイルアプリケーション管理を簡単に行えるIntuneってどんなサービス？詳しく解説！｜Microsoft 365相談センター

Intuneはバイス管理(MDM)とモバイルアプリケーション管理(MAM)機能を含む
Microsoft 製品との親和性が大のため、以下が可能。

　AutoPilotでのWindows端末のセットアップ
　Officeアプリと他アプリ間のデータコピーを制限

端末管理、端末制御、アプリケーション制御がIntuneのメイン機能

端末情報の取得と遠隔制御

管理コンソール上から、管理端末のデバイス名やシリアル番号、インストールされているOS(オペレーティングシステム)のバージョン情報といったハードウェアインベントリ情報や、サードパーティのテナントID(Apple IDなど)などの情報を確認できる。
端末紛失時には、遠隔で端末をリセットするリモートワイプ機能もある。
ワイプ処理は、端末のすべてのユーザーアカウント、データ、設定がリセット可能。OSも既定の状態、あるいは任意に設定した内容にリセット可能。

OSアップデートの制御

端末OSアップデートのタイミングを細かく制御が可能

遠隔でアプリケーション配布

Microsoft ストアアプリやiOS ストアアプリなどのストアアプリの配信、Webアプリ（Webアプリへのショートカット）、exeファイルといったインストーラーファイルの配布が可能

アプリベースの条件付きアクセス

OutlookアプリのみがExchange Onlineにアクセスできるように設定できる
ユーザー毎に異なるアプリケーションを利用してる状況を、強制的に一つにまとめる事が可能。

Intune 上でのイベントの監査

、「誰が・何を・どうしたのか」を監査ログから確認できる。

デバイス管理の新手法「モダンマネジメント」について（前編）｜アイエスエフネット | 株式会社アイエスエフネット

モダンマネジメントとは？

Windows10のクライアント端末を遠隔で管理・運用する手法のこと

モダンマネジメントで実現できること

社外PCの運用管理
PCキッティングの工数削減(ゼロタッチプロビジョニング)

Microsoft Intuneの仕組みと機能を解説！クラウド初心者にもわかりやすい、テレワークにおすすめな理由とは｜アイエスエフネット | 株式会社アイエスエフネット

Intuneでのデバイス管理の仕組み

IntuneはAzure ADと統合されてる。
Intuneにデバイスを登録すると同時にAzure ADにもデバイス登録される。
デバイス登録には2種類あり。

登録方法	説明	対象端末	Winサインイン
Azure AD登録	デバイス登録のみ	個人用端末(BYOD=私用端末の業務利用)	ローカルユーザー
Azure AD参加	デバイス登録 & ドメイン参加	社給端末	AzureADユーザ

f:id:pikesaku:20210915225036p:plain

Intuneの代表的な機能

①デバイス管理

様々なOSを一覧管理できる。

Windows10
Surface Hub
Apple iOS 12.0 以降
Apple iPadOS 13.0 以降
Mac OS X 10.13 以降
Android（5.0以降, エンタープライズ）

登録デバイスに対し、リモートから以下操作が可能。

パスワードリセット
デバイスのロック
ワイプ
BitLocker 回復キー発行（Windows のみ）
再起動（Windows のみ）
紛失モード（iOSのみ）
カスタム通知の送信（Andoroid, iOS/iPadOSのみ）
デバイス名やシリアル番号およびIMEI、所有者やOSバージョンなどの情報閲覧

②アプリケーション管理

Intuneにアプリケーションを追加することで、登録デバイスにアプリケーションを配信できる。
正常にアプリケーションがインストールできたか確認できる。
アプリケーションをIntuneでデバイスに割り当てると、アプリケーションのインストールはデバイス上で自動的に行われる
Intuneに追加できるアプリケーションの種類は以下

　ストアアプリ（Microsoft, Android, Apple, Google Play など）
　基幹業務アプリ（.msi, .appxbundle, .msix, .msixbundle .appx, .apk, .ipa, .intunemac）
　WEBアプリ（WEB上にあるアプリケーションのリンク）
　iOS/iPadOS, Androidの組み込みアプリ
　Win32アプリ(「.exe」形式のアプリ。「.intunewin」形式に変換する必要あり。)

③コンプライアンスポリシー管理

コンプライアンスポリシーで設定できる項目

f:id:pikesaku:20210915232849p:plain

コンプライアンスポリシーをIntune上でデバイスに割り当てると、自動的にポリシーが対象のデバイスに適用される。
条件付きアクセス機能で、準拠していないデバイスに対し、リソース(メール、アプリ等)へのアクセス制限ができる。
Intuneのコンソール画面上で各デバイスがポリシー適用済みかどうかを確認できる。

④更新管理

Windows10に標準搭載されたWindows Update for Business(アップデートポリシー管理機能)と連携
更新プログラムのインストール延期設定ができる。
WSUSの様にインストールする更新プログラムの選択やインストール禁止はできない。全適用が前提で、延期ができるのみ。*** ⑤AutopilotによるPCの初期セットアップ
Autopilotで初期セットアップ画面(Out-Of-Box Experience)のいくつかの設定を事前定義しユーザー操作を省略できる。
以下操作の週略が可能。使用許諾契約書（EULA）

　プライバシーの設定
　ローカル管理ユーザの設定
　アカウント変更オプションの表示／非表示
　言語と地域の設定
　キーボードの構成
　PC名のテンプレート設定