Microsoft Intune とは? Microsoft Endpoint Manager とは?
この記事では、Microsoft Endpoint Managerソリューションの概要について説明します。
まず初めにMicrosoft Intuneとは?
Intuneと世間では呼ばれているサービスですが、
正式にはMicrosoft Endpoint Managerというサービスです。
Microsoft Endpoint Managerサービスの中にIntuneサービスが含まれています。
ここではMicrosoft Endpoint Managerについて詳しく解説していきます。
Microsoft Endpoint Managerとは?
Microsoft Endpoint Managerとは、業務用のデバイスを一括管理する統合ソリューションです。
このサービスは、クラウドを用いてデバイス管理を行うMicrosoft Intuneと、
オンプレミスのシステムを管理するConfiguration Managerの両機能を内包しています。
デバイス管理とエンドポイントのセキュリティ対策をひとつの管理プラットフォーム上で行えるため、
オフィスのデータ管理状況がシンプルでわかりやすくなるでしょう。
基本的な機能だけでもさまざまなサービスが搭載されており、現代の働き方を手厚く支援してくれます。
Microsoft製品ならではのサポート力の強さがポイントです。
Microsoft Endpoint Managerに含まれているサービス
Microsoft Endpoint Managerは、業務で役立つさまざまなサービスに対応しています。
導入後にどんなサービスを利用できるのか、代表的なものをいくつかご紹介します。
Microsoft Intune
Microsoft Intuneは、モバイルデバイスとモバイルアプリを管理するクラウドサービスです。
社内ネットワークと接続できるデバイスの管理や、デバイス・アプリを社内のセキュリティレベルに合致させる設定を行えます。
Configuration Manager
Configuration Managerは、ネットワークやパソコン、サーバーを管理するオンプレミスのサービスです。
Configuration Managerで展開するオンプレミスのシステムをMicrosoft 365 クラウドに接続する「共同管理」により、
Microsoft Intuneと連携させ、オンプレミスとクラウドの両機能の統合管理を実現できます。
Desktop Analytics
クラウドサービスを利用したDesktop Analyticsは、数あるデバイスからデータを収集し、
Windowsの更新準備に役立つ情報を提案します。デバイスを最新の状態に保ち、スムーズな稼働をサポートする機能です。
Windows Autopilot
Windows Autopilotは、新たなデバイスを使用する際に初期設定を行うサービスです。
デバイスのリセットや転用もWindows Autopilotで実施可能なので、使用開始から終了までのサイクルを簡略化できます。
Azure Active Directory(Azure AD)
デバイスやユーザーなど、認証や認可を与える際に使用するのが、Azure Active Directory(Azure AD)です。
安全性を確保したうえで、IDやパスワードを何度も入力する手間を省けます。
エンドポイントマネージャー管理センター
エンドポイントマネージャー管理センターとは、デバイスを管理するWebサイトです。
ポリシーの作成もここで行います。
Microsoft Endpoint Managerでできること
Microsoft Endpoint Managerのサービスを使うと、具体的にどんなことができるでしょうか。
業務に役立つポイントを3つピックアップしてご紹介します。
ハイブリッドワークに対応する「統合管理」
Microsoft Endpoint Managerを使って統合管理を行うと、クラウド管理の利点をさらに広げられます。
各デバイスの健全性とコンプライアンスの現状を、総括的に「見える化」できるところが特長です。
統合管理により、従業員全員の管理対象と管理対象外のデバイスのデータを一括で保護できるので、
社内全体で統合的なセキュリティ対策を行えます。
オフィスワークとリモートワークを併用するハイブリッドワークが一般的になってきた現代において、
データやノウハウが属人化した結果生じるリスクは無視できません。
オフラインで従業員の一部のみが保有するデータは機器の故障や紛失で失われやすく、
共有化されていなければ他の従業員が必要な時にアクセスできないため、機会損失や業務の非効率化を招きます。
また、機器の紛失、盗難にあった場合、デバイス管理が行き届いていなければ機器内のデータや業務サービスの認証情報が漏洩し、
顧客の個人情報や社外秘のノウハウを盗み見られるリスクがあります。
デバイスの統合管理で遠隔操作が可能であれば、紛失時に機器内のデータやアプリを消去でき、
すべてのデータはクラウド上にも保管されるためリスクを最小化できます。
安全性を高め、業務そのものを円滑に進めるために、社員が自宅などの社外で仕事をする際は、
エンドポイントの統合管理が必須と言えます。
セキュリティを強化する「組み込み型の保護」
Microsoft Endpoint Managerでは、組み込み型の保護を行うことで、セキュリティ面を強化できます。
組み込み型保護は、さまざまな国と地域で広がりつつある新たなセキュリティ対策であり、
クラウド利用における信頼性を高められます。
ネットワークのアクセス許可を制御できたり、セキュリティ侵害を防止したりすることも可能です。
各デバイスを評価して、それぞれのアクセスに対して許可を出すこともできます。
システムを組み込んでいるため、一般的なセキュリティ対策と比べて、安心度が高いでしょう。
インターネットとともに生活することが当然となった現在、新しいウイルスやマルウェアは日々進化しています。
さらに、データの動く範囲が一気に広がったハイブリッドワーク上では、
今まできちんと保護できていたと思っていた部分のセキュリティが脆弱になりがちです。
従来のセキュリティ対策では、抜け道ができてしまうこともよくあります。
重要な社内データを徹底的に守るためにも、より信頼できる組み込み型保護が利用できる点は、大きなメリットです。
迅速に導入できる「幅広い拡張性」
Microsoft Endpoint Managerは、拡張性の幅広さも特筆すべきポイントです。
デバイスそのものを一元的に管理するシステム・モバイルデバイス管理(MDM)と、
アプリを管理するシステム・モバイルアプリケーション管理(MAM)を使い、デバイスとアプリの両方を一括で管理できます。
また、デバイスをユーザーの自宅に直送もできるため、
遠地に住むなどの事情で出社できない従業員でも、迅速に社外で業務を始められます。
面倒なソフトウェア更新プロセスもシンプルな操作で完了でき、
収集したデータを分析して、ウイルスに感染していたりセキュリティ対策が欠けていたりするといった
危険なデバイスを発見・特定することも難しくありません。
これにより、重大なアクシデントが起こらないよう、しっかりと準備・対策ができるということです。
このように、円滑に導入を済ませ、それ以降の細かな手続きも進められるところは、Microsoft Endpoint Managerの魅力でもあります。
AutoPilot
AutoPilotの役割としてIntuneに登録されているデバイスグループに登録されているデバイスをIntuneで認知させる役割がある。
ただし、既存のデバイスを登録する際は再起動しないとIntuneで管理できないので要注意。
Intuneポリシー
基本的にはIntuneでポリシーを作成してデバイスに割り当てる。
既存のGPO設定をIntuneで管理したい場合は検討が必要である。
オンプレのGPO設定をIntuneで管理する場合、Intuneでは設定しきれない箇所があるため、以下の案で設計しなければならない。
- コンプライアンスポリシーとデバイス制御などで設定する。
- GPOをエクスポートしてIntuneにインポートする。
- レジストリ設定batを作成し各デバイスで流す。
Intuneアプリ配布
Intuneでアプリ配布をする際、配布失敗した時の対処法を以下に記載する。
- 再同期を試みる: エラーの原因を修正し、再度同期を試みます。
- アプリの再インストール: アプリの再インストールを行います。
- デバイスの再登録: デバイスをIntuneから削除し、再度登録します。
- サポートに問い合わせる: 上記の方法で解決できない場合は、Microsoftサポートに問い合わせる。
BitLocker設定手順
- Microsoft Endpoint Manager admin centerにログインします。
- [エンドポイント セキュリティ] > [ディスク 暗号化] > [ポリシーの作成] を選択します。
- プラットフォーム: Windows 10/11、プロファイル: BitLockerを選択して作成します。
- [構成設定] ページで、ビジネス ニーズに合わせて BitLocker の設定を構成します。
- [スコープ (タグ)] タブで [スコープ タグを選択] を選択し、 [タグを選択する] ウィンドウを開いて、プロファイルにスコープ タグを割り当てます。
- [割り当て] ページで、このプロファイルを受け取るグループを選択します。
- [確認および作成] ページで、完了したら、 [作成] を選択します。
また、BitLockerを有効にする前に、組織のニーズを満たす回復オプションについて理解し、計画することが重要です1。
以上の手順で、IntuneでBitLocker設定をすることができます。
BitLocker回復キー
BitLocker回復キーは、BitLocker暗号化を解除するためのキーです。Windowsに搭載されたBitLockerは、ドライブを暗号化し、未承認のアクセスからデータを保護するための機能です.
BitLocker回復キーが必要になる理由は、以下の通りです
- ドライブへの不正アクセスの可能性が検出された場合。
- セキュアブートポリシーが予期せずに変更された場合。
- Windowsアップデートの不具合が発生した場合。
- パソコン使用中の突然の電源断後に求められる場合。
以上のような理由で、BitLocker回復キーが必要になることがあります。BitLockerを有効にする前に、組織のニーズを満たす回復オプションについて理解し、計画することが重要です