MDMができる Microsoft Intune とは？機能を詳しく解説

作成日：2023/12/04

MDMができる Microsoft Intune とは？機能を詳しく解説

MDM (モバイルデバイス管理) 機能を持つ「 Microsoft Intune 」は、マイクロソフト社が提供するクラウドサービスです。
MDMやMAM (モバイルアプリケーション管理) 製品を導入しようとしても、運用コストの面や複数製品との比較で悩み、どの製品を選ぶか決めかねている方も多いのではないでしょうか。
こちらの記事では、Microsoft Intune の機能やメリット、導入時の注意点について解説します。

Microsoft Intune とは

Microsoft Intune とは、マイクロソフト社が提供するMDMとMAMが行えるクラウドサービスです。
MDMとMAMは、それぞれ次のような意味を持ちます。

Microsoft Intune は、もともとエンドポイント管理全般の製品「 Microsoft Endpoint Manager 」に含まれるサービスでしたが、2022年10月、マイクロソフト社は Microsoft Endpoint Manager のブランドを廃止し、Microsoft Intune をエンドポイント管理全般の製品名として使用することを発表しました。

Microsoft Intune と Microsoft Entra ID の仕組み

Microsoft Intune は、Microsoft Azure に含まれる「 Microsoft Entra ID (旧 Azure Active Directory＝Azure AD)」と統合されています。
Microsoft Entra ID は、法人向けクラウドID管理サービスであり、Microsoft 365 などのビジネスアプリケーションにアクセスする際に使用します。
つまり、Microsoft Intune にデバイスを登録する際は、Microsoft Entra ID にもデバイスを登録するかたちになります。

Microsoft Entra ID (旧 Azure AD) については、こちらの記事もご覧ください。

• ●【 Microsoft 365 】Azure AD とは？ID管理やアクセス保護の観点から導入意義を解説 前編

Microsoft 365 については、以下の記事でも詳しく解説しています。

• ● Microsoft 365 とは？企業が抱える課題別解決機能・導入するポイントを徹底解説 前編

Microsoft Intune と Active Directory の違い

Active Directory はマイクロソフト社が提供するサービスで、ネットワーク内のリソースを管理するために Windows サーバー内へ設けられたディレクトリサービスです。
MDMサービスである Microsoft Intune は、オフィスの外へ持ち出すデバイスを管理できるのに対し、Active Directory は社内のネットワークで使用しているデバイスを管理します。

Microsoft Intune と Microsoft 365 MDM の違い

Microsoft 365 には、標準装備でMDM機能が搭載されています。
Microsoft 365 MDM では、ITポリシーに準拠したモバイルデバイスのアクセス制限や、紛失や盗難時のロック機能、Microsoft 365 関連のデータ消去が行えます。
一方で Microsoft Intune は、Microsoft 365 MDM の機能に加えて、Wi-FiやVPNなどを使用した企業リソースへの安全なアクセス環境の提供や、企業で管理するデバイスのアプリケーションの利用範囲の制限など、MAMに関する機能を持ちます。

Microsoft Intune の主な機能

Microsoft Intune の主にできることは、次のとおりです。

MDM

Microsoft Intune に従業員が使用するPC、スマートフォンやタブレットなどのデバイスを登録することで、社内のあらゆるデバイスを一元管理できるようになります。
万が一紛失や盗難に遭った際も、遠隔操作でデバイスにロックをかけたり、パスワードのリセットを行ったりすることができます。
個人利用のデバイスを業務でも利用するBYOD (Bring Your Own Device) を行っている企業でも、オプションとして社内情報にアクセスする際は多要素認証を求めるなどの設定ができます。

MDMについて詳しく知りたい方は、こちらの記事もご覧ください。

• ● MDM (モバイルデバイス管理) とは？機能や導入時の注意点を解説

MAM

Microsoft Intune では、従業員へ支給するデバイスにインストールできるアプリケーションや、従業員が操作できるアプリケーションの制限が行えます。
また、特定のユーザーや特定のデバイスに対し、利用可能なアプリケーションを追加することもできます。
Microsoft Intune のMAM機能では、従業員が使用するデバイス内のアプリケーションを一元管理し、利用状況などをまとめて把握できるようになります。

セキュリティーレベルの管理

Microsoft Intune は企業で定めているセキュリティー要件に従ったセキュリティーレベルでの運用を実現します。
例えば、「Windows 11 バージョン 22H2 よりも新しいバージョンには自動でアップデートされないようにする」などの制限をかけたり、パスワードの文字数を指定し、推測されやすい簡単なパスワードの設定を防止したりするなど、企業のセキュリティーレベルを維持するのに役立ちます。

PCが持つセキュリティー機能に関する内容は、こちらのページでもご紹介しています。

• ● サーバーやパソコン自体に持つセキュリティー機能

Windows の更新プログラムの管理

Microsoft Intune では、Windows のアップデートなどでOSを常に最新の状態を保つために更新プログラムを管理できます。
アップデートを後回しにしたことが原因でウイルス感染によるトラブルを招く恐れもあるため、デバイスのセキュリティーを維持する上でアップデートは重要です。
Microsoft Intune の更新プログラムの管理機能では、OSだけでなく、各アプリケーションにも適用可能です。

デバイスのアクセス管理

Microsoft Intune では、企業で定めたデバイスのみが企業のメールツールやアプリケーションにアクセスできるよう制限をかけられます。
なお、このようにデバイスに対してアクセス管理を行う場合は、Microsoft Intune と Microsoft Entra ID を連携する必要があります。

情報漏えいを防ぐ

Microsoft Intune は、情報漏えいによる被害を防ぐため、社内で管理するデータのコピーや切り取りなどの操作制限、デバイス内への重要データの保存制限などが行えます。
万が一紛失や盗難被害に遭った際は、デバイス内に保存されたデータを遠隔から消去することもできます。

コンプライアンス ポリシーの管理

Microsoft Intune のコンプライアンス ポリシー設定では、デバイスを企業で定めたセキュリティー要件に合わせた設定ができます。
条件つきのアクセス制限を設けることで、企業のセキュリティー要件を満たさないデバイスが会社のメールツールやアプリケーションなどのリソースにアクセスすることを停止できます。

PCの初期セットアップ

PCの初期セットアップでは、「Out Of Box Experience (OOBE)」と呼ばれる画面が表示されます。
セットアップ作業は通常手動で行いますが、Microsoft Intune の「 Autopilot 」機能によって自動化できるようになります。
あらかじめ Autopilot において、使用許諾契約書 (EULA) や言語と地域の設定、ローカル管理ユーザーの設定などのOOBEの項目を設定しておくことで、業務用のPCを従業員に貸与した際など、初期セットアップにかかる時間を短縮できます。

「 Cotoka for PC 」では Autopilot を活用し、初期セットアップを必要とせず、従来では管理者が担っていた多くのPC管理業務を最小限に抑えたPCを提供します。
従業員の自宅へ直接PCを配送することも可能なため、テレワーク化を推進している企業の方にもおすすめです。

詳しくは、「 Cotoka for PC 」のサービスページをご覧ください。

• ● 新時代のデバイス体験 Cotoka for PC

Autopilot の概要や導入の流れについては、以下の記事で解説しています。

• ● Microsoft 365 Windows Autopilot とは？デバイスリセットや回復、拡張サポートの魅力 前編

Microsoft Intune を導入するメリット

Microsoft Intune を企業で導入するメリットは、次のとおりです。

デバイス管理を効率化できる

Microsoft Intune は、さまざまなOSに対応しているため、デバイス管理を一元化しやすく、業務効率化を実現します。
社内で Android 製品や Apple 製品など複数のOSを利用している場合は、Microsoft Intune の活用が特におすすめです。

Microsoft Intune の対応OSは、次のとおりです。(2023年11月現在)
最新の情報は マイクロソフト社のページ をご確認ください。

従業員が利用するアプリケーションを管理できる

Microsoft Intune を活用することで、企業の従業員が使用するデバイスのアプリケーションを管理できます。
管理者が許可した、業務に必要なアプリケーションのみに従業員をアクセスさせることができるようになるため、従業員の私的利用や人為的ミスによる情報漏えいなどのリスクを減らせます。

セキュリティー強化ができる

テレワークを導入する企業が増え、オフィスを離れて業務にあたる従業員も増えたことから、企業全体でのセキュリティーを強化し、情報漏えいやウイルスへの感染を防ぐ取り組みがさらに重視されるようになりました。
Microsoft Intune では、先述したMDMやMAMの機能に加え、デバイスの紛失や盗難時に Microsoft 365 のデータを消去するリモートワイプ機能などを含んでいるため、テレワーク時のセキュリティー体制を強化できます。

コストの削減

Microsoft Intune はクラウドサービスのため、サーバーの管理費を必要としません。
デバイス管理に必要な費用を少しでも抑えたい場合や、MDMやMAM製品の導入コスト、運用コストが課題となっている企業の方には、Microsoft Intune はおすすめのサービスといえます。

個人利用のデバイスを業務でも安全に利用できる

Microsoft Intune は、個人利用のデバイスを業務で用いるBYODを取り入れている企業でも、安全にデバイスを扱える環境を整えます。
Microsoft Intune によって、従業員は各個人のデバイスに含まれるプライベートのデータと業務用のデータは完全に切り離された状態で、企業のネットワークにアクセスできます。
紛失や盗難被害に遭った際も、個人利用のデバイスから企業に関するデータとアプリケーションを削除できるため、企業に関する機密情報の漏えいを防ぎます。

Microsoft Intune を導入する方法

Microsoft Intune を企業で導入するための手順をご紹介します。

Microsoft Intune を企業で利用できる Microsoft のライセンス

企業向けの Microsoft Intune のプランは、Microsoft Intune プラン1、Microsoft Intune プラン2、Microsoft Intune Suite の3種類です。
Microsoft Intune プラン2 と Microsoft Intune Suite は、Microsoft Intune プラン1 のアドオン (拡張機能) として利用できます。

各プランの価格は次のとおりです。(2023年11月現在)

最新の価格や利用できる機能の詳細は、Microsoft Intune の価格表 をご確認ください。

なお、Microsoft Intune プラン1 は、マイクロソフト社の次のライセンスの中に含まれます。(2023年11月現在)

• Microsoft 365 E5
• Microsoft 365 E3
• Enterprise Mobility + Security E5
• Enterprise Mobility + Security E3
• Microsoft 365 Business Premium
• Microsoft 365 F1
• Microsoft 365 F3
• Microsoft 365 Government G5
• Microsoft 365 Government G3
• Microsoft Intune for Education

Microsoft Intune を利用可能なライセンスについての最新情報は、マイクロソフト社のページをご確認ください。

Microsoft Intune の利用手順をわかりやすく解説

Microsoft Intune は、大まかに以下の手順で設定します。(2023年11月時点)

1. Microsoft Enterprise Mobility + Security にサインアップする
2. Microsoft Intune にサインインする
3. 管理画面サイドバーのメニューから「ユーザー」を選択し、「すべてのユーザー」→「新しいユーザー」から、ユーザーを登録する
4. 管理画面サイドバーの「グループ」を選択し、「すべてのグループ」→「新しいグループ」から、グループを作成する
5. グループの名前の登録や追加するメンバーを割り当てる
6. Microsoft Intune へ各デバイスを登録する
   管理画面サイドバーの「デバイス」を選択し、「Windows」→「Windows登録」、「iOS/iPadOS」→「iOS/iPadOS登録」など、各デバイスの登録を行う
   

各手順や詳細な設定方法は、マイクロソフト社の各手順紹介ページをご確認ください。

• ● 手順 1 - サブスクリプションIntune設定する
• ● 手順 2 - アプリを追加、構成、保護する
• ● 手順 3 - コンプライアンス ポリシーを作成する
• ● 手順 4 - デバイスの機能とセキュリティー設定を構成する
• ● 手順 5 - デバイスを登録する

Microsoft Intune を利用する際の注意点

Microsoft Intune を利用する際の注意点は、次のとおりです。

Microsoft Intune へデバイス登録を行う必要がある

Microsoft Intune の利用を始める前に、先述のとおりデバイスを登録する必要があります。
Microsoft Intune はさまざまなOSに対応していますが、各プラットホームによって、別途必要な条件があります。
例えば、Apple 製品の iOS や iPadOS、macOS では、Apple からのMDMプッシュ通知証明書や Apple ID が必要です。

Microsoft Intune で配布できないアプリケーションがある

Microsoft Intune を利用し、アプリケーションをユーザーに一括で配布する際、中にはGUI操作が必要なアプリケーションなど、Microsoft Intune で配布できないアプリケーションがあります。
そのような場合は、アプリケーション配布管理ツールを活用することがおすすめです。

アプリケーション配布管理ツールの「 AppSelf 」は、管理者が許可したアプリケーションをユーザー自身の手でインストールできる環境を提供するサービスです。

ユーザーは、あらかじめPCに「公開鍵」の含まれた AppSelf エージェントをインストールしておきます。
管理者は「AppSelf パッケージ作成ツール」を使い、アプリケーションのインストーラーの「AppSelf パッケージ化」を行います。
このとき、作成された AppSelf パッケージには「秘密鍵」による署名が行われます。
AppSelf パッケージを受け取ったユーザーがインストール作業を行うと、公開鍵と秘密鍵が適合し、パッケージを展開できます。
このような手順で、ユーザーは管理者権限を必要とせずにアプリケーションをインストールできます。

「 AppSelf 」の詳しいサービス内容については、以下のサービスページをご覧ください。

• Microsoft Intune では難しい、アプリの配布は AppSelf

個人のPC操作ログは取得不可

Microsoft Intune では、誰がどのような操作を行ったかなどの操作ログは取得できません。
万が一従業員の不注意や操作ミスなどにより情報漏えいが生じた場合は、個人情報保護委員会へ報告する義務があります。
企業は、情報漏えいの発生源や防止策を練るためにも、各デバイスの操作ログの取得をほかの手段で取得しておくよう注意が必要です。

活用するために専門知識やスキルが必要な場面がある

Microsoft Intune を活用する際には、デバイスの登録やアプリケーションの追加などで、複数のサービスと Microsoft Intune を連携する作業が発生します。
連携する過程で操作を誤り、不具合やトラブルが生じないよう、管理者が Microsoft Intune の仕組みや仕様、設定方法などを十分に理解している必要があります。

まとめ

こちらの記事では、MDMを Microsoft Intune で行うメリットや設定手順、注意点などを解説しました。
テレワークが普及し、企業のデータや機密情報を保護するためにはMDMでデバイスを管理することが重要です。
Microsoft Intune はクラウドサービスでコストを抑えた運用が可能なため、Microsoft Intune が含まれるライセンスを取得している方は、ぜひご活用ください。

お問い合わせ