テレワークの拡大で課題となるのが、社員が使うデバイスの管理です。社外でのデバイス利用、個人用デバイスを業務用に利用することには、情報流出というセキュリティリスクが常に付きまといます。
社員が業務で使用する各デバイスを安全に管理し、セキュリティ対策を徹底するためのデバイス管理ツールのひとつに、Microsoft Intuneがあります。クラウドベースでマルチプラットフォームに対応しているため、導入しやすいツールです。
本記事ではMicrosoft Intuneでデバイスを管理することによるメリット、具体的な利用方法を解説します。
Microsoft Intuneとは?
Microsoft Intuneでできることは
Microsoft Intuneを利用するメリット
Microsoft Intuneを利用する方法
Microsoft Intune のデメリット
Microsoft Intuneでデバイス管理を最適化しよう
Microsoft Intuneとは、クラウドベースで提供されるデバイス管理サービスのことです。管理できるのはパソコン(PC)やスマートフォン、タブレットなどで、企業が保有するさまざまなデバイスやアプリケーションの制御ができます。
例えば、デバイスやアプリケーションの利用状況を一元的に管理したり、インストールできるアプリケーションを制限したりするなど、セキュリティ強化に活用することが可能です。
Microsoft Intuneアカウントは、同じくMicrosoftが提供するAzure AD(Azure Active Directory)と統合されていることから、Microsoftアカウントにより認証・アクセス制限が行われます。もともとはWindows Intuneという名称でしたが、現在はMicrosoft Intuneという名称へ変更されています。
Microsoft Intuneには各種管理機能が備わっています。管理できる対象OSはWindows、Mac OS、Android、iOSなどで、マルチプラットフォームに対応しています。インターネットに接続できる状態のデバイスを一元管理でき、管理業務を大幅に効率化できます。
Intuneの代表的な機能は以下のとおりです。
Microsoft Intuneにデバイスを登録し、どのユーザーがどのデバイスを利用しているかを管理できます。入力するパスワードの強度・要件の設定や、指紋・顔・虹彩認証の有効・無効の設定が可能です。
Microsoft Intuneでは、デバイスの更新プログラムのインストール状況の確認、管理を行えます。また、アプリの更新状況も同様に確認、管理できます。
業務要件により、更新プログラムの自動アップデートや特定のバージョンで止めておくといった運用も可能にします。更新プログラムの管理により、グループごとにポリシーを適用し、インストールをコントロールすることもできます。
そのほか、更新プログラムが適用されていないデバイスは機密情報や重要な業務ファイルにアクセスさせないようロックするといったように、条件を設定して制限がかけられます。
対象デバイスのIntune構成プロファイルの種別をEndpoint Protectionに設定し、デバイスの暗号化を有効にすることで、ハードディスクを暗号化することができます。
デバイスにインストールできるアプリ、使用できるアプリを制限できる機能が備わっています。
例えば、Androidデバイス上へのアプリのダウンロードはGoogle Playからしか許可しないといった、安全性が確認できるプラットフォームからのダウンロードのみに制限することで、悪質なWebサイトからのソフトウェアのインストールを防げます。
Microsoft Intuneを利用するメリットについて解説していきます。
Microsoft Intuneは、マルチプラットフォームでデバイスを一元的に管理できるツールです。種類の異なるプラットフォーム上にインストールされたアプリの管理までひとまとめにできるため、簡単に効率化することが可能です。
Microsoft Intuneはオンプレミスのサーバー機器の構築を要求しないクラウドサービス型であるため、インターネットにつながる環境であれば利用できます。
物理的なサーバー上でデバイス管理システムを運用する場合と比べ、自社での維持管理が不要になるため、サポートに割く時間とコストを削減できます。
個人で保有しているデバイスを業務に使用する場合(BYOD, Bring Your Own Device)、Microsoft Intune上へデバイスを登録して制御できるため、情報保護に役立てられます。
例えば、BYODデバイス上で会社用プロファイルと個人用プロファイルを分け、それぞれのプロファイル間での業務データの複製・受け渡しができないようにする、もしくは会社用プロファイルでは外部とのデータ共有を制限するといった制御を実行できます。そのほか、会社用プロファイルではスクリーンショットを禁止し、カメラをブロックするといったことも可能です。
また、パスワードの変更期限の設定を行えるほか、パスワードを複数回間違った場合はデバイスにロックをかける、紛失した際は遠隔操作でデバイスを初期化するといったことも行えます。
Microsoft IntuneはMicrosoft 365のライセンスに含まれることから、Microsoft 365に含まれるOfficeアプリ、メール、チャットツール、ビデオ会議といったさまざまな製品の利用も可能となります。Microsoft Intuneは特にインストールする必要がなく、デバイスのコントロールを行うことができ、Microsoft Officeアプリと他アプリのコピーをコントロールするといった方法もとれます。
Microsoft Intuneを導入するためには、Microsoftのサブスクリプションライセンスが必要です。無料版が提供されている代表的なMicrosoftライセンスは以下の3つです。
会社の規模によりサブスクリプションの種類が変わる点に注意しましょう。
保有するMicrosoftのサブスクリプションのアカウントサインアップ画面に表示される項目に従い、必要事項を入力し設定を完了します。
利用者情報を入力し、Microsoft Intuneで使用するドメイン名を指定します。全ての項目を入力したあとにサインアップボタンをクリックすることで、アカウントの設定は完了です。
会社で独自のドメイン名(会社のWebページに設定されているカスタムドメイン名)を使っている場合は、これをMicrosoft Intuneでも使用できるように設定します。Azure ADのポータルサイトにサインインし、Azure ADのサービスページで「カスタムドメイン名」のページを開き、そこで「+カスタム ドメインの追加」をクリックします。
DNSレコード表示画面で認証後、カスタムドメイン名を設定します。
Azure ADのポータルのドメイン一覧の画面を開き、登録した「カスタムドメイン名」をプライマリに設定します。
Microsoft Endpoint Manager admin centerを開き、デバイス>デバイスの登録をクリックし、デバイス登録メニュー配下のWindows登録をクリックします。右側メニューの自動登録アイコンをクリックし、MDMスコープからすべてを選び、保存ボタンをクリックして画面を閉じます。
これで、Azure ADに参加したデバイスがすべてMicrosoft Intuneに自動で登録されるようになります。
Microsoft Intuneのデメリットは、デバイスがインターネットに繋がっている時のみしか管理できないという点です。デバイスのロック、初期化に関してもインターネットに繋がっている状態でのみ実行が可能です。
今後も多くの企業で、テレワークという勤務形態が継続・拡大していくと想定されます。社外でのデバイス利用時のトラブルを回避するために、業務で利用するデバイスを安全に管理できる体制を整えておくことが大切です。
Microsoft Intuneは業務で利用するデバイスの管理を一元化し、セキュリティ対策や更新プログラムの管理ができるほか、会社用プロファイル、個人用プロファイルに分けて利用することが可能なため、テレワークのデバイス管理として最適なツールになります。
管理するデバイスが多すぎてセキュリティ管理も含めて手が回らない、人材リソースがかかりすぎて煩雑になっているといった場合は、アウトソーシングする方法もあります。たとえば、社内PCの管理ならば、調達から処分までプロが適切にサポートしてくれるPCLCM(PCライフサイクルマネジメント)サービスがおすすめです。
当社のPCLCMサービスは、これまで4,000社以上のサポートを行ってきた実績により蓄積された知識、経験を生かしたきめ細やかなサポート・提案に自信をもっています。PC管理に課題や不安をお持ちの方は、ぜひ当社にご相談ください。
PCLCMサービスについて、そもそも分からない方は以下のお役立ち資料で詳しく解説しています。
➡【資料ダウンロード】PC運用にお悩みの担当者必見 PCLCMサービス導入ガイド
※本記事は、2023年3月時点の情報をもとに作成しています。Microsoft社の方針によっては、変更が生じる場合があります。
