Microsoft Intuneを使用してオペレーティング システムのバージョンを管理する

最近のモバイル プラットフォームおよびデスクトップ プラットフォームでは、主要な更新プログラム、修正プログラム、および新しいバージョンが速いペースでリリースされます。 Windows 上の更新プログラムおよび修正プログラムについては、完全に管理するためのコントロールがありますが、iOS/iPadOS および Android などの他のプラットフォームでは、エンド ユーザーをプロセスに参加させる必要があります。 Microsoft Intune には、異なるプラットフォーム間のオペレーティング システムのバージョン管理を構築するための機能があります。

Intune は、次のような一般的なシナリオに対処するのに役立ちます。

• エンド ユーザー デバイスのオペレーティング システムのバージョンを判断する
• 新しいオペレーティング システムのリリースを検証している間、デバイス上の組織のデータへのアクセスを制御する
• 組織で承認されたオペレーティング システムの最新バージョンにアップグレードするようにエンドユーザーに奨励または要求する
• 組織全体のオペレーティング システムの新しいバージョンへのロールアウトを管理する

Intune モバイル デバイス管理登録の制限を使用したオペレーティング システムのバージョン管理

デバイス登録制限を使用すると、特定のデバイス属性に基づいて、デバイスがIntuneに登録されないように制限できます。 目標は、ユーザーが組織の期待に準拠しているデバイスのみを登録できるようにすることであり、組織のリソースにアクセスできる場所に準拠していないデバイスの登録を防ぐことです。 次の プラットフォームの登録デバイス プラットフォーム制限 ポリシーを作成できます。

• Android
• iOS/iPadOS
• macOS
• Windows

各プラットフォームの種類のデバイス プラットフォーム制限ポリシーには、iOS ポリシーの次の画面キャプチャに示すように、許可されるオペレーティング システムの最小バージョンと最大バージョンの両方が含まれます。

実際

組織では、次の設定を使用して、デバイスの種類の制限を使用して、組織のリソースへのアクセスを制御します。

1. オペレーティング システムの最小バージョンを使用して、現在のプラットフォームとサポートされているプラットフォームのみをorganizationに登録できるようにします。
2. オペレーティング システムの最大数を指定しない (制限なし) のままにするか、organizationが使用を検証した最後のバージョンに設定して、新しいオペレーティング システム リリースの内部テストに時間を確保します。

詳細については、「デバイスの上限数のプラットフォームを作成する」を参照してください

オペレーティング システムバージョンのレポートとIntuneデバイスコンプライアンスポリシーへの準拠

デバイス コンプライアンス ポリシー Intune、次のツールが提供されます。

• デバイスに必要な構成を定義するコンプライアンス規則を指定します。
• コンプライアンス レポートを表示して、準拠していないデバイスとポリシー内の設定を把握します。
• 非準拠デバイスが組織のリソースにアクセスできないようにするデバイス検疫ポリシーと条件付きアクセス ポリシーを使用して、コンプライアンス違反の結果に対処します。

登録制限と同じく、デバイス コンプライアンス ポリシーには、オペレーティング システムの最小バージョンと最大バージョンの両方が含まれています。 ポリシーには、準拠するための猶予期間をユーザーに与えるためのコンプライアンス タイムラインもあります。 デバイス コンプライアンス ポリシーは、登録済みのエンド ユーザー デバイスを組織の期待に準拠させます。

実際

組織は、登録制限と同じシナリオにデバイス コンプライアンス ポリシーを使用しています。 これらのポリシーは、組織内のユーザーのオペレーティング システムのバージョンを最新かつ検証済みの状態に維持します。 エンド ユーザーのデバイスが準拠していない状態になった場合に、エンド ユーザーのオペレーティング システムが組織でサポートされる範囲になるまで、条件付きアクセスを使用して組織のリソースへのアクセスをブロックすることができます。 エンド ユーザーには、コンプライアンスが遵守されていないことが通知され、アクセスを回復するための手順が提供されます。

詳細については、「 デバイス コンプライアンスの概要」を参照してください。

Intune アプリの保護ポリシーを使用したオペレーティング システムのバージョン管理

Intune アプリの保護ポリシーとモバイル アプリケーション管理 (MAM) のアクセス設定では、アプリ層でのオペレーティング システムの最小バージョンを指定できます。 これにより、オペレーティング システムを指定した最小バージョンに更新するようにエンド ユーザーに通知、推奨、または要求することができます。

次の 2 つの方法があります。

• 警告 - 警告では、エンド ユーザーに対し、アプリケーション保護ポリシーまたは MAM アクセス設定が適用されたアプリを、指定されたバージョンより古いバージョンのオペレーティング システムが搭載されたデバイスで開く場合、アップグレードする必要があることが通知されます。 アプリと組織のデータへのアクセスが許可されます。

  

• ブロック: ブロックは、エンド ユーザーがアプリケーションの保護ポリシーまたは MAM のアクセス設定がされたアプリを、指定されたバージョンより古いオペレーティング システムのバージョンで開いたときに、アップグレードする必要があることをエンド ユーザーに通知します。 アプリと組織のデータに対するアクセスは許可されません。

  

実際

現在、組織は、アプリを開いたときまたは再開したときに、アプリを最新に保つ必要性についてエンド ユーザーを教育する方法として、アプリの保護ポリシー設定を使用しています。 構成例では、エンド ユーザーは最新バージョン -1 で警告され、最新バージョン -2 でブロックされます。

詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

Intune アプリ保護ポリシーを使用した複数の OS バージョンの管理

App Protection Policies (APP) では、条件付き起動設定で最小 OS バージョンを 1 つだけ構成できますが、OS の最小値が異なる複数の APP を作成できます。 ただし、APP はユーザー グループに割り当てられているため、これは、異なる OS バージョンを実行している複数のデバイスを持つユーザーが、保護されたリソースにアクセスするときに競合する OS 要件に直面する可能性があることを意味します。

異なる OS 要件を持つ複数の APP が同じユーザーを対象とすることを許可するには、特定の OS バージョンを対象とする フィルターを作成 できます。

Intuneには、マネージド デバイスとマネージド アプリの 2 種類のフィルターがあります。 APP では、マネージド アプリ フィルターのみがサポートされます。

フィルターの作成

APP でフィルターを使用するには、対象とする特定の OS バージョンごとにフィルターを作成する必要があります。

1. Microsoft Intune管理センターに移動します。

2. [ テナント管理>Filters>Create>Managed apps] を選択します。

3. [ 基本 ] ページで、フィルターの名前を入力します。これにより、識別しやすくなり、ターゲットにするプラットフォーム (この例では iOS/iPadOS) を選択できます。

4. [ ルール ] ページで、対象とするメジャー OS リリースのフィルター (Property=osVersion(OS バージョン)、Operator=StartsWith、Value=18 など) を作成します。

• 省略可能: [プレビュー] ボタンを使用して、指定したフィルターに一致するデバイス、ユーザー、アプリをチェックできます。

5. [ 確認と作成 ] ページで、[作成] を選択してフィルターを保存します 。

これらの手順を繰り返して、iOS 16 や 17 など、対象とするプラットフォームとメジャー OS バージョンごとに追加のフィルターを作成します。

フィルターを使用して APP を作成してターゲットを設定する

1. Microsoft Intune管理センターに移動します。

2. [アプリ>アプリ保護 ポリシー>ポリシーの作成> iOS/iPadOS など、アプリでターゲットにするプラットフォームを選択します。

3. [ 基本 ] ページで、識別しやすいポリシーの名前を入力します。

4. organizationの要件を満たす iOS、Android、または Windows アプリ保護ポリシー設定を使用して、アプリ、データ保護、アクセスの要件ページを完了します。 [条件付き起動] ページ (または [Windows APP の正常性チェック] ページ) の [デバイスの条件] セクションで、最小バージョンとして設定する OS マイナーリリースまたはパッチ リリースを構成します。 たとえば、Setting=Min OS バージョン、Value=18.2.1、Action=Block access/Wipe data/Warn は、organizationに必要なアクションに従います。

5. [ 割り当て] ページで、前に作成したフィルターを使用して、ポリシーの割り当てを正しいメジャー OS バージョンにスコープを設定します。

6. [ 確認と作成 ] ページで、[作成] を選択してポリシーを保存します 。

示されている例では、フィルターは iOS 18 を実行しているデバイスを対象とし、APP 条件付き起動設定では 18.2.1 が必要になり、他のメジャー バージョンの iOS で実行されているデバイスにアプリが適用されないようにします。

たとえば、OS バージョンごとに追加の APP を作成します。

• iOS 16 の 2 番目のポリシー: 条件付き起動、デバイスの条件、最小 OS バージョン =16.7.10、フィルター、OS バージョン、StartsWith=16。

• iOS 17 の 3 番目のポリシー: 条件付き起動、デバイスの条件、 最小 OS バージョン =17.7.2、フィルター OS バージョン、StartsWith=17。

実際

組織は、異なる最小 OS バージョンを必要とする複数の APP を作成できます。 これにより、これらの APP の割り当てをフィルター処理して、各メジャー OS バージョンにのみ適用できます。 これにより、各アプリが割り当てられている特定の OS バージョンと互換性が確保され、アプリ保護に合わせたアプローチが提供されます。

OS ベンダーが新しいマイナー OS 更新プログラムまたはパッチをリリースする際に、新しい最小 OS バージョンで各アプリを更新することもできます。 この継続的な更新プロセスにより、常に最新の OS バージョンを使用して、organizationのセキュリティが維持されます。 アプリと OS のバージョンを最新の状態に保つことは、脆弱性から保護し、全体的なセキュリティを強化するのに役立ちます。

新しいオペレーティング システム バージョンのロールアウトの管理

この記事で説明されているIntune機能を使用すると、定義したタイムライン内で組織のデバイスを新しいオペレーティング システム バージョンに移行するのに役立ちます。 次の手順では、サンプルの展開モデルを提供し、ユーザーをオペレーティング システム v1 からオペレーティング システム v2 に 7 日間で移行します。

1. デバイス登録の制限を使用して、デバイスを登録するための最小バージョンとしてオペレーティング システム v2 を要求します。 これにより、登録時に新しいエンド ユーザーのデバイスを確実に準拠させます。
2. アプリ保護ポリシー Intune使用して、保護されたアプリが開かれるか、新しいオペレーティング システム v2 が必要であることを再開したときにユーザーに警告します。
3. デバイス コンプライアンス ポリシーを使用して、デバイスが準拠するための最小バージョンとしてオペレーティング システム v2 を要求します。 非準拠のアクションを使用して、7 日間の猶予期間を許可し、エンド ユーザーにタイムラインと要件を含む電子メール通知を送信します。
   • これらのポリシーは、デバイスを電子メール、Intune ポータル サイト、アプリ保護ポリシーで有効にしたアプリに対していつ開かれるかによって、デバイスを更新する必要があることをエンド ユーザーに通知できます。
   • コンプライアンス レポートを実行して、非コンプライアンスになっているユーザーを特定することができます。
4. Intuneアプリ保護ポリシーを使用して、デバイスがオペレーティング システム v2 を実行していない場合にアプリを開いたり再開したりしたときにユーザーをブロックします。
5. デバイス コンプライアンス ポリシーを使用して、デバイスを準拠させるための最小バージョンとしてオペレーティング システム v2 を要求します。
   • これらのポリシーでは、組織のデータに引き続きアクセスするために、デバイスを更新することが求められます。 デバイスの条件付きアクセスと共に使用すると、保護されたサービスがブロックされます。 アプリの保護ポリシーが有効になっているアプリは、開いたとき、または組織のデータにアクセスするときにブロックされます。

次の手順

organizationで使用されているオペレーティング システムのバージョンを管理するには、次のリソースを使用します。

• デバイスの種類の制限を設定する
• Intune のデバイス コンプライアンス ポリシーの概要
• アプリ保護ポリシーを作成して割り当てる方法