デプロイ ガイド: Microsoft Intuneで Linux デバイスを管理する
このガイドでは、Microsoft Intuneを使用して Linux アプリとエンドポイントを保護および管理するために必要なすべてのことを説明します。これには、次の方法が含まれます。
- デバイス登録用にテナントを準備します。
- Linux デバイス コンプライアンス ポリシーを作成します。
- カスタム コンプライアンス設定を追加します。
- Microsoft Edge で条件付きアクセス ポリシーを適用します。
- デスクトップを登録する従業員と学生をサポートします。
このガイドの各セクションで、関連するタスクを確認します。 一部のタスクは必須であり、条件付きアクセスの設定など、一部のタスクは省略可能です。 各セクションで提供されているリンクを選択して、Microsoft Learn の推奨されるヘルプ ドキュメントに移動します。詳細な情報と方法に関する手順を確認できます。
手順 1: 前提条件
Microsoft Intune、Microsoft Entra ID、Microsoft Edge は、Linux デスクトップ管理の機能を強化します。 Microsoft Intuneは、デバイスの管理機能とコンプライアンス機能を強化します。 Microsoft Entra IDは、コンプライアンス ポリシーと共に使用される条件付きアクセスMicrosoft Intune機能します。 Microsoft Edge は、Microsoft 365 Web アプリへの保護されたアクセスを提供するために使用される Web ブラウザー アプリです。
テナントのエンドポイント管理機能を有効にするには、Intune管理者として次の前提条件を満たします。
ロールとアクセス許可Microsoft Intune詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。 Microsoft Entraグローバル管理者ロールとIntune管理者ロールは、Microsoft Intune内で完全な権限を持ちます。 グローバル管理者には、Microsoft Intuneの多くのデバイス管理タスクに必要な以上のアクセス許可があります。 タスクを完了するために必要な最小限の特権ロールを使用することをお勧めします。 たとえば、デバイス登録タスクを完了できる最小限の特権ロールは、組み込みのIntune ロールである Policy と Profile Manager です。
モバイル デバイス管理にorganizationを準備する方法、オンボードする方法、またはIntuneを採用する方法の詳細と推奨事項については、Intuneセットアップ展開ガイドを参照してください。
手順 2: デプロイの計画
Microsoft Intune 計画ガイドを使用して、デバイス管理の目標、ユースケース シナリオ、および要件を定義します。 これは、ロールアウト、通信、サポート、テスト、および検証の計画にも役立ちます。 たとえば、従業員や学生がデバイスを登録するときにそこにいる必要がないため、ポータル サイトと Microsoft Edge のインストールと使用に関する情報を見つける場所をユーザーが把握できるように、コミュニケーション プランを用意することをお勧めします。
手順 3: デバイス コンプライアンス ポリシーを作成する
デバイス コンプライアンス ポリシーを作成して、データにアクセスする Linux デバイスがセキュリティで保護され、organizationの標準を満たしていることを確認します。 登録プロセスの最終段階はコンプライアンス評価であり、デバイスの設定がポリシーを満たしていることを確認します。 デバイス ユーザーは、保護されたリソースにアクセスするために、すべてのコンプライアンスの問題を解決する必要があります。 Intuneは、コンプライアンス要件に満たされていないデバイスを非準拠としてマークし、準拠していない構成に対するアクションに従って追加のアクション (ユーザーに通知の送信、アクセスの制限、デバイスのワイプなど) を実行します。
Linux ディストリビューションの種類、バージョン、デバイス暗号化、またはパスワードの複雑さに基づいて、デバイス コンプライアンス ポリシーを適用できます。 Linux で使用可能なすべてのコンプライアンス設定は、Microsoft Intune設定カタログにあります。 Microsoft Entra条件付きアクセス ポリシーをデバイス コンプライアンス ポリシーと組み合わせて使用して、Microsoft Edge の Microsoft 365 Web アプリへのアクセスを制御できます。 たとえば、従業員が最初にデバイスを登録またはセキュリティで保護せずに Edge のMicrosoft Teamsにアクセスしようとすると、サインインできなくなります。
ヒント
デバイス コンプライアンス ポリシーの概要については、「 コンプライアンスの概要」を参照してください。
| タスク | 詳細 |
|---|---|
| デバイスのコンプライアンス ポリシーを作成する | Linux デバイスのデバイス コンプライアンス ポリシーを作成して割り当てる方法に関する詳細なガイダンスを取得します。 |
| カスタム コンプライアンス設定を追加する | カスタム コンプライアンス設定では、Microsoft Intuneに組み込まれているデバイス コンプライアンス オプションにまだ含まれていないコンプライアンス シナリオに対処するために、独自の Bash スクリプトを記述できます。 この記事では、Linux デバイスのカスタム コンプライアンス ポリシーを作成、監視、トラブルシューティングする方法について説明します。 カスタム コンプライアンス設定では、設定と値のペアを識別する カスタム スクリプトを作成 する必要があります。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 アクションの例としては、アラートの送信、デバイスのリモート ロック、デバイスの廃止などがあります。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイスベースまたはアプリベースの条件付きアクセス ポリシーを作成する | Linux 用 Microsoft Edge ブラウザーで Microsoft 365 Web アプリを保護し、アクセスを許可する条件付きアクセス ポリシーを設定します。 条件付きアクセスは、非準拠デバイスが Edge で保護された作業アプリにアクセスできないようにブロックし、準拠しているデバイスへのアクセスを許可します。 Linux デバイスを操作するには、条件付きアクセスのデバイス コンプライアンス ポリシーが必要です。 |
手順 4: デバイスを登録する
登録は、次を実行している Linux デスクトップでサポートされています。
- Ubuntu LTS、バージョン 24.04、22.04、または 20.04。
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
Intuneライセンスを割り当てられた従業員は、必要に応じて、個人用 Linux デバイスをMicrosoft Intuneに登録できます。 登録中、デバイスはMicrosoft Entra IDに登録され、コンプライアンスが評価されます。 Edge に条件付きアクセス ポリシーを適用した場合、ユーザーは自分の職場アカウントで Microsoft 365 Web アプリにアクセスする前に、デバイスの登録を求められます。
Intune管理者は、「前提条件」で説明されている以外に、従業員の登録を有効にするために何もする必要はありません。 ただし、登録中にガイダンスが必要な場合に備えて、ヘルプ リソースを提供することが重要です。
ヒント
デバイスの暗号化が必要な場合は、デバイス登録の前に従業員に通知して、可能な場合は OS のインストール中にデバイスの暗号化を選択できるようにします。 OS のインストール後にデバイスを暗号化するよりも簡単で高速です。 さらに、organizationのオペレーティング システム要件とパスワードの複雑さの要件を Web サイトやオンボード メールで簡単に見つけられるようにして、従業員がその情報を探すために登録を遅らせる必要がないようにします。
| タスク | 詳細 |
|---|---|
| Linux 用Microsoft Intuneアプリをインストールする | 従業員は、登録のために個人用デバイスにMicrosoft Intune アプリをインストールする必要があります。 この記事では、ターミナル アプリで Linux 用のMicrosoft Intune アプリをインストール、更新、削除する方法について説明します。 |
| Microsoft Edge Web ブラウザーをインストールする) | 保護された Web サイトやファイルにアクセスするには、従業員に Microsoft Edge Web ブラウザーバージョン 102 が必要です。X 以降。 デバイスを登録した後、従業員は職場アカウントで Microsoft Edge にサインインし、Web サイトやファイルにアクセスできます。 |
| Intuneに Linux デバイスを登録する | この記事では、デバイス ユーザー向けであり、Microsoft Intune アプリにデバイスを登録する方法について説明し、システム要件、前提条件、次の手順について説明します。 この手順では、Microsoft Intuneデバイスを Microsoft Entra ID に登録し、Intuneにデバイス レコードを作成します。 登録が完了すると、デバイスコンプライアンスチェックが開始されます。 |
| デバイスの状態を確認し、コンプライアンスの問題を解決する | この記事はデバイス ユーザー向けであり、Microsoft Intune アプリのコンプライアンスの問題を解決する方法について説明します。 コンプライアンスチェックは、登録中に行われ、その後、デバイスがIntuneでチェックインするときに行われます。 Intune アプリは、デバイスに非準拠の設定があるときに従業員に通知します。 Intuneは、デバイス コンプライアンスと条件付きアクセス ポリシーを使用して、コンプライアンスとコンプライアンス違反に対するアクションを決定します。 |
次の手順
Intuneを移動して使用する方法に関するチュートリアルについては、「管理センター Intuneチュートリアル」を参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
Linux デスクトップ管理に関する最新情報とブログについては、Microsoft Tech Communityを参照してください。
このガイドの他のバージョンについては、以下を参照してください。