展開ガイド: Windows 10/11 を実行しているデバイスを管理する
このガイドでは、Microsoft Intuneを使用して Windows アプリとエンドポイントを保護および管理する方法について説明し、前提条件から登録までのセットアップに関する推奨事項とリソースが含まれています。
このガイドの各セクションで、関連するタスクを確認します。 一部のタスクは必須であり、条件付きアクセスMicrosoft Entra設定など、一部のタスクは省略可能です。 各セクションで提供されているリンクを選択して、Microsoft Learn の推奨されるヘルプ ドキュメントに移動します。詳細な情報と方法に関する手順を確認できます。
手順 1: 前提条件
テナントのエンドポイント管理機能を有効にするには、次の前提条件を満たします。
ロールとアクセス許可Microsoft Intune詳細については、「Microsoft Intuneを使用した RBAC」を参照してください。 Microsoft Entraグローバル管理者ロールとIntune管理者ロールは、Microsoft Intune内で完全な権限を持ちます。 これらのロールは高い特権を持ち、Microsoft Intuneの多くのデバイス管理タスクに必要以上に多くのアクセス権を持ちます。 タスクを完了するために使用できる最小限の特権を持つ組み込みロールを使用することをお勧めします。
organizationの準備、オンボード、またはモバイル デバイス管理にIntuneを採用する方法の詳細と推奨事項については、「移行ガイド: Microsoft Intuneのセットアップまたは移行」を参照してください。
手順 2: デプロイの計画
Microsoft Intune 計画ガイドを使用して、デバイス管理の目標、ユースケース シナリオ、および要件を定義します。 ガイドを使用して、ロールアウト、コミュニケーション、サポート、テスト、検証を計画します。 たとえば、従業員や学生がデバイスを登録するときに、存在する必要がない場合があります。 Intune ポータル サイトのインストールと使用に関する情報を見つける場所をユーザーが把握できるように、コミュニケーション プランを用意することをお勧めします。
詳細については、「Microsoft Intune計画ガイド」を参照してください。
手順 3: コンプライアンス ポリシーを作成する
コンプライアンス ポリシーを使用して、データにアクセスするデバイスがセキュリティで保護され、organizationの標準を満たしていることを確認します。 登録プロセスの最終段階はコンプライアンス評価であり、デバイスの設定がポリシーを満たしていることを確認します。 デバイス ユーザーは、保護されたリソースにアクセスするために、すべてのコンプライアンスの問題を解決する必要があります。 Intuneは、コンプライアンス要件に満たされていないデバイスを非準拠としてマークし、準拠していない構成に対するアクションに従って追加のアクション (ユーザーに通知の送信、アクセスの制限、デバイスのワイプなど) を実行します。
Microsoft Entra条件付きアクセス ポリシーをデバイス コンプライアンス ポリシーと組み合わせて使用して、Windows PC、会社の電子メール、および Microsoft 365 サービスへのアクセスを制御できます。 たとえば、最初にデバイスを登録したりセキュリティで保護したりすることなく、従業員が Edge のMicrosoft Teamsにアクセスできないようにするポリシーを作成できます。
ヒント
デバイス コンプライアンス ポリシーの概要については、「 コンプライアンスの概要」を参照してください。
| タスク | 詳細 |
|---|---|
| コンプライアンス ポリシーの作成 | コンプライアンス ポリシーを作成してユーザーとデバイスのグループに割り当てる方法のステップ形式のガイダンス。 |
| コンプライアンス違反に対するアクションを追加する | デバイスがコンプライアンス ポリシーの条件を満たさなくなったときの処理を選択します。 アクションの例としては、アラートの送信、デバイスのリモート ロック、デバイスの廃止などがあります。 デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 |
| デバイスベースまたはアプリベースの条件付きアクセス ポリシーを作成する | 保護するアプリまたはサービスを選択し、アクセス条件を定義します。 |
| 先進認証を使用していないアプリへのアクセスをブロックする | アプリベースの条件付きアクセス ポリシーを作成して、OAuth2 以外の認証方法を使用するアプリ (基本認証やフォームベース認証を使用するアプリなど) をブロックします。 ただし、アクセスをブロックする前に、Microsoft Entra IDにサインインし、認証方法のアクティビティ レポートを確認して、ユーザーが基本認証を使用して、忘れた重要な情報にアクセスしているか、または認識しないものにアクセスしているかどうかを確認します。 たとえば、会議室のカレンダー キオスクなどは、基本認証を使用します。 |
| カスタム コンプライアンス設定を追加する | カスタム コンプライアンス設定では、Microsoft Intuneに組み込まれているデバイス コンプライアンス オプションにまだ含まれていないコンプライアンス シナリオに対処するために、独自の Bash スクリプトを記述できます。 この記事では、Windows デバイスのカスタム コンプライアンス ポリシーを作成、監視、トラブルシューティングする方法について説明します。 カスタム コンプライアンス設定では、設定と値のペアを識別する カスタム スクリプトを作成 する必要があります。 |
手順 4: エンドポイント セキュリティを構成する
エンドポイント セキュリティ機能Intune使用して、デバイス のセキュリティを構成し、危険にさらされているデバイスのセキュリティ タスクを管理します。
| タスク | 詳細 |
|---|---|
| エンドポイント セキュリティ機能を使用してデバイスを管理する | Intune のエンドポイント セキュリティ設定を使用して、デバイスのセキュリティを効果的に管理し、デバイスの問題を修復します。 |
| エンドポイント保護設定を追加する | ファイアウォール、BitLocker、Microsoft Defenderなどの一般的なエンドポイント保護セキュリティ機能を構成します。 この領域の設定の説明については、エンドポイント保護設定リファレンスを参照してください。 |
| Intune で Microsoft Defender for Endpoint を構成する | IntuneをMicrosoft Defender for Endpointと統合すると、セキュリティ侵害を防ぐだけでなく、エンドポイント脅威 & 脆弱性管理 (TVM) のMicrosoft Defenderを利用し、Intuneを使用して TVM によって識別されるエンドポイントの弱点を修復できます。 |
| BitLocker ポリシーを管理する | マネージド デバイスで BitLocker を構成するポリシーを作成して、登録時にデバイスが暗号化されていることを確認します。 |
| セキュリティ ベースライン プロファイルを管理する | Intuneのセキュリティ ベースラインを使用して、ユーザーとデバイスのセキュリティ保護と保護を支援します。 セキュリティ ベースラインには、セキュリティに影響を与える設定のベスト プラクティスと推奨事項が含まれています。 |
| ソフトウェア更新プログラムに Windows Update for Business を使用する | Windows Update for Business を使用してWindows Updateロールアウト戦略を構成します。 この記事では、Windows 10/11 ソフトウェア更新プログラムの管理に使用できるポリシーの種類と、更新リングの遅延から機能更新プログラム ポリシーへの移行方法について説明します。 |
手順 5: デバイス設定を構成する
Microsoft Intuneを使用して、デバイスの Windows 設定と機能を有効または無効にします。 これらの設定を構成して適用するには、デバイス構成プロファイルを作成してから、そのプロファイルを組織内のグループに割り当てます。 デバイスは、登録されるとプロファイルを受け取ります。
| タスク | 詳細 |
|---|---|
| デバイス プロファイルの作成 | Microsoft Intuneでデバイス プロファイルを作成し、すべてのデバイス プロファイルの種類に関するリソースを見つけます。 設定 カタログ を使用して、最初からポリシーを作成することもできます。 |
| グループ ポリシー設定を構成する | Windows 10 テンプレートを使用し、Microsoft Intune でグループ ポリシー設定を構成する。 管理用テンプレートには数百の設定が含まれており、これらを Internet Explorer、Microsoft Edge、OneDrive、リモート デスクトップ、Word、Excel、その他の Office プログラム用に構成することができます。 これらのテンプレートには、管理者にグループ ポリシーと同様の設定の簡易ビューが用意されています。これらは 100% クラウドベースです。 |
| Wi-Fi プロファイルを構成する | このプロファイルにより、ユーザーは組織の Wi-Fi ネットワークを検索して接続できます。 この領域の設定の詳細については、Windows 10以降の Wi-Fi 設定リファレンスを参照してください。 |
| VPN プロファイルを構成する | 組織のネットワークに接続するユーザーのために、Microsoft Tunnel などのセキュリティで保護された VPN オプションを設定します。 この領域の設定についての説明は、VPN 設定リファレンスを参照してください。 |
| メール プロファイルを構成する | ユーザーがメール サーバーに接続して職場または学校のメールにアクセスできるよう、メール設定を構成します。 この領域の設定についての説明は、メール設定リファレンスを参照してください。 |
| デバイスの機能を制限する | 職場または学校で使用できるデバイス機能を制限することによって、未認可のアクセスや注意散漫からユーザーを保護します。 この領域の設定の詳細については、「Windows 10/11 および Windows 10 Teams のデバイス制限リファレンス」を参照してください。 |
| カスタム プロファイルを構成する | Intune に組み込まれていないデバイスの設定や機能を追加して割り当てます。 この領域の設定の説明については、 カスタム設定リファレンスを参照してください。 |
| BIOS 設定を構成する | デバイス ファームウェア構成インターフェイス (DFCI) を使用して、登録済みデバイスで UEFI (BIOS) 設定を制御できるように、Intuneを設定する |
| ドメイン参加の構成 | 参加済みデバイスMicrosoft Entra登録する場合は、Intuneに参加するオンプレミス ドメインを認識できるように、ドメイン参加プロファイルを作成してください。 |
| 配信の最適化設定を構成する | これらの設定を使用して、アプリと更新プログラムをダウンロードするデバイスでの帯域幅の消費量を減らします。 |
| ブランド化と登録のエクスペリエンスをカスタマイズする | 組織独自の用語、ブランド、画面設定、連絡先情報を使用して、Intune ポータル サイトや Microsoft Intune アプリのエクスペリエンスをカスタマイズします。 |
| キオスクと専用デバイスを構成する | キオスク モードで実行されているデバイスを管理するキオスク プロファイルを作成します。 |
| 共有デバイスをカスタマイズする | 共有デバイスまたはマルチユーザー デバイスのアクセス、アカウント、電源機能を制御します。 |
| ネットワーク境界を構成する | 信頼できないサイトから環境を保護するためのネットワーク境界プロファイルを作成します。 |
| Windows 正常性の監視を構成する | Windows 正常性監視プロファイルを作成して、Microsoft がパフォーマンスに関するデータを収集し、改善のための推奨事項を提供できるようにする。 プロファイルを作成すると、収集されたデータを分析し、ソフトウェアを推奨し、スタートアップ パフォーマンスを向上させ、一般的なサポートの問題を修正する、Microsoft Intuneのエンドポイント分析機能が有効になります。 |
| 学生向けのテスト アプリの構成 | 登録済みデバイスでテストまたは試験を受ける学生向けにテストアプリを構成します。 |
| eSim 携帯ネットワーク プロファイルを構成する | Surface LTE Pro などの ESIM 対応デバイス用に eSIM を構成して、携帯データネットワーク接続経由でインターネットに接続できます。 この構成は、旅行中に接続と柔軟性を維持する必要があるグローバルな旅行者に最適で、SIM カードの必要性を排除します。 |
手順 6: セキュリティで保護された認証方法を設定する
Intune で認証方法を設定して、認可されたユーザーのみが内部リソースにアクセスできるようにします。 Intune では、多要素認証、証明書、派生資格情報をサポートしています。 証明書は、S/MIME を使用したメールの署名と暗号化にも使用できます。
| タスク | 詳細 |
|---|---|
| 多要素認証 (MFA) を要求する | デバイス登録時に 2 つの形式の資格情報をユーザーに提供するよう要求します。 このポリシーは、Microsoft Entra条件付きアクセス ポリシーと組み合わせて動作します。 |
| 信頼済み証明書プロファイルを作成する | SCEP、PKCS、または PKCS のインポートされた証明書プロファイルを作成する前に、信頼された証明書プロファイルを作成して展開します。 信頼された証明書プロファイルにより、SCEP、PKCS、PKCS でインポートされた証明書を使用して、デバイスとユーザーに信頼されたルート証明書が展開されます。 |
| Intune で SCEP 証明書を使用する | Intune で SCEP 証明書を使用して必要なインフラストラクチャを構成するために必要な事柄について理解します。 その後 、SCEP 証明書プロファイルを作成 するか 、SCEP を使用してサード パーティの証明機関を設定できます。 |
| Intune で PKCS 証明書を使用する | (オンプレミスの証明書コネクタなどの) 必要なインフラストラクチャを構成し、PKCS 証明書をエクスポートし、Intune デバイス構成プロファイルに証明書を追加します。 |
| インポートした PKCS 証明書を Intune で使用する | インポートした PKCS 証明書を設定します。これにより、S/MIME を設定および使用してメールを暗号化することが可能になります。 |
| 派生資格情報の発行者を設定する | ユーザー スマート カードから派生した証明書を使用して Windows デバイスをプロビジョニングします。 |
| Windows Hello for Business と Microsoft Intune の統合 | デバイス登録中にWindows Hello for Businessを有効または無効にするWindows Hello for Business ポリシーを作成します。 Hello for Business は、Active Directory または Microsoft Entra アカウントを使用して、パスワード、スマート カード、または仮想スマート カードを置き換える代替サインイン方法です。 |
手順 7: アプリをデプロイする
アプリおよびアプリ ポリシーを設定する際は、組織の要件について検討してください。たとえば、サポートする予定のプラットフォーム、ユーザーが実行するタスク、それらのタスクを完了するためにユーザーが必要とするアプリの種類、それらを必要とするユーザーなどです。 Intune を使用してデバイス全体 (アプリを含む) を管理することも、Intune を使用してアプリのみを管理することもできます。
| タスク | 詳細 |
|---|---|
| 基幹業務アプリを追加する | macOS 基幹業務 (LOB) アプリをIntuneに追加し、グループに割り当てます。 |
| Microsoft Edge を追加する | Microsoft Edge for Windows を追加して割り当てます。 |
| Microsoft Store からアプリIntune ポータル サイト追加する | Intune ポータル サイト アプリを必要なアプリとして手動で追加して割り当てます。 |
| Autopilot 用Intune ポータル サイトアプリを追加する | Windows Autopilot によってプロビジョニングされたデバイスにポータル サイト アプリを追加します。 |
| Microsoft 365 アプリを追加する | Microsoft 365 Apps for enterpriseを追加します。 |
| アプリをグループに割り当てる | アプリを Intune に追加したら、それらをユーザーとデバイスに割り当てます。 |
| アプリ割り当ての組み込みと除外 | 選択したグループを割り当てに含めたり、割り当てから除外したりして、アプリへのアクセスと可用性を制御します。 |
| PowerShell スクリプトを使用する | PowerShell スクリプトをアップロードして、Intuneで Windows デバイス管理機能を拡張し、最新の管理に簡単に移行できるようにします。 |
手順 8: デバイスを登録する
登録中、デバイスはMicrosoft Entra IDに登録され、コンプライアンスが評価されます。 各登録方法と、organizationに適した登録方法の選択方法については、「Microsoft Intuneの Windows デバイス登録ガイド」を参照してください。
| タスク | 詳細 |
|---|---|
| MDM の自動登録を有効にする | Microsoft Entra IDに参加または登録するIntuneにデバイスを自動的に登録する自動登録を有効にすることで、登録を簡略化します。 自動登録により、Windows Autopilot の展開、BYOD 登録、グループ ポリシーを使用した登録、プロビジョニング パッケージによる一括登録が簡略化されます。 |
| MDM サーバーの自動検出を有効にする | Microsoft Entra ID P1 または P2 がない場合は、Intune登録サーバーの CNAME レコードの種類を作成することをお勧めします。 CNAME レコードは、登録要求を適切なサーバーにリダイレクトして、登録ユーザーがサーバー名を手動で入力する必要がないようにします。 |
| Windows Autopilot シナリオ | Windows Autopilot 中に自動的に発生するようにデバイス登録Microsoft Intune設定することで、ユーザー主導型または自己展開型の OOBE を簡素化します。 |
| ハイブリッド参加済みデバイスMicrosoft Entra Windows Autopilot に登録する | Active Directory 用の Intune コネクタを使用すると、Active Directory Domain ServicesのデバイスがMicrosoft Entra IDに参加し、Intuneに自動的に登録できるようになります。 Active Directory Domain Servicesを使用し、現在 ID をMicrosoft Entra IDに移動できないオンプレミス環境では、この登録オプションをお勧めします。 |
| グループ ポリシーを使用してデバイスを登録する | グループ ポリシーを使用して、Intuneへの自動登録をトリガーします。 |
| デバイスの一括登録 | Windows Configuration Designerでプロビジョニング パッケージを作成します。この両方が多数の新しい Windows デバイスを結合してMicrosoft Entra IDし、Intuneに登録します。 |
| 登録状態ページ (ESP) を設定する | カスタム設定を使用して登録状態ページ プロファイルを作成し、デバイスのセットアップと登録をユーザーにガイドします。 |
| デバイス所有権ラベルを変更する | デバイスが登録された後に、Intune でその所有権ラベルを企業所有または個人所有に変更できます。 この調整により、デバイスの管理方法が変わり、Intuneでより多くの管理機能や識別機能を有効にしたり、制限したりできます。 |
| Intune Active Directory コネクタのプロキシを構成する | Active Directory 用のIntune コネクタを構成して、既存の送信プロキシ サーバーと連携させます。 |
| 登録に関する問題のトラブルシューティング | 登録中に発生する問題のトラブルシューティングを行い、解決方法を見つけます。 |
手順 9: リモート アクションを実行する
デバイスのセットアップ後、サポートされているリモート アクションを使用して、遠くからデバイスを管理およびトラブルシューティングできます。 次の記事では、Windows のリモート アクションについて説明します。 ポータルでアクションが存在しないか無効になっている場合、Windows ではサポートされません。
| タスク | 詳細 |
|---|---|
| デバイスでリモート操作を実行する | Intune で個々のデバイスにドリルダウンし、リモートから管理とトラブルシューティングを行う方法を理解します。 この記事では、Intune で使用できるすべてのリモート操作と、それらの手順へのリンクを一覧にして示しています。 |
| TeamViewer を使用して Intune デバイスをリモート管理する | Intune 内で TeamViewer を構成します。また、リモートでデバイスを管理する方法を理解します。 |
| セキュリティ タスクを使用して脅威と脆弱性を確認する | Intuneを使用して、Microsoft Defender for Endpointによって識別されるエンドポイントの弱点を修復します。 セキュリティ タスクを操作する前に、Microsoft Defender for EndpointをIntuneと統合する必要があります。 |
手順 10: 従業員と学生を支援する
このセクションのリソースは、Microsoft Intune ユーザー ヘルプドキュメントにあります。 このドキュメントは、個人または会社が提供するデバイスを登録している従業員、学生、およびその他のIntuneライセンスを持つデバイス ユーザーを対象としています。 ドキュメント リンクは、Intune ポータル サイト アプリ全体で使用でき、次に関する情報を参照できます。
- 登録方法(登録方法のチュートリアル)
- ポータル サイトの設定と機能
- 保存されているデータの登録を解除して削除する方法
- コンプライアンス要件のデバイス設定の更新
- アプリの問題を報告する方法
ヒント
従業員がその情報を探すために登録を遅らせる必要がないように、organizationのオペレーティング システム要件とデバイス パスワード要件を Web サイトまたはオンボードメールで簡単に見つけられるようにします。
| タスク | 詳細 |
|---|---|
| Windows 用アプリIntune ポータル サイトインストールする | ポータル サイト アプリを取得する場所とサインイン方法について説明します。 |
| アプリポータル サイト更新する | この記事では、最新バージョンのポータル サイトをインストールする方法と、アプリの自動更新を有効にする方法について説明します。 |
| デバイスを登録する | この記事では、Windows 10またはWindows 11を実行している個人用デバイスを登録する方法について説明します。 |
| デバイスの登録を解除する | この記事では、Intuneからデバイスを登録解除し、保存されているキャッシュとログを削除してポータル サイトする方法について説明します。 |
次の手順
Microsoft Intune管理センターの概要と操作方法については、「チュートリアル: Microsoft Intune管理センターのチュートリアル」を参照してください。 チュートリアルは、Intune または特定のシナリオの初心者のための 100 ~ 200 レベルのコンテンツです。
このガイドの他のバージョンについては、以下を参照してください。