Microsoft Intune を使用してデバイスを構成し、セキュリティで保護する

Intune を使用すると、学校内のデバイスの設定を構成して、特定のポリシーに準拠するようにすることができます。 たとえば、デバイスを最新の状態に保つように、デバイスをセキュリティで保護する必要がある場合があります。 または、同じ外観ですべてのデバイスを構成する必要がある場合があります。

設定はグループに割り当てることができます:

• 設定をユーザーのグループに設定する場合、対象ユーザーがサインインする管理対象デバイスに関係なく、これらの設定が適用されます
• 設定をデバイスのグループに設定する場合、デバイスを使用しているユーザーに関係なく、これらの設定が適用されます

概要

✅ 設定のさまざまな種類について説明します。

Intune

デバイス プロファイルを使用すると、設定を追加および構成してから、組織内のデバイスにそれらの設定をプッシュすることができます。 ポリシーを作成する場合、いくつかのオプションがあります。

• ベースライン: ベースラインには、事前構成済みのセキュリティ設定が含まれます。 Microsoft セキュリティ チームによるおすすめを使用してセキュリティ ポリシーを作成したい場合は、セキュリティ ベースラインが適しています。

  詳細については、セキュリティ ベースラインに関する記事を参照してください。

• 設定カタログ: 設定カタログを使用して、利用可能なすべての設定を 1 つの場所に表示します。 たとえば、BitLocker に適用されるすべての設定を確認し、BitLocker のみに焦点を当てたポリシーを作成することができます。

  詳細については、「設定カタログ」を参照してください。

• テンプレート: テンプレートには、VPN、メール、キオスク デバイスなどの機能や概念を構成する設定の論理的なグループが含まれています。 Microsoft Intune でのデバイス構成ポリシーの作成に慣れている場合は、既にこれらのテンプレートを使用しています。

  使用可能なテンプレートを含む詳細については、デバイス プロファイルを使用してデバイスに機能と設定を適用する方法に関する記事を参照してください。

ヒント

初等中等教育 (K-12) 用に使用される一般的な構成の一覧については、「Common Education 構成の概要」を参照してください。

Intune For Education

Intune for Education で設定を管理するには、次の 2 つの方法があります:

• 簡単構成。 このオプションは、学校環境でよく使用される設定の選択を構成するために使用されます
• グループ設定。 このオプションは、Intune for Education によって提供されるすべての設定を構成するために使用されます

注:

簡易構成は、作業を開始する際に最適です。 設定は Microsoft が推奨する値に事前に構成されていますが、学校のニーズに合わせて変更できます。

簡易構成を使用すると、わずか数ステップで Intune for Education を起動して実行できます。 デバイスまたはユーザーのグループを選択し、配布するアプリケーションを選択し、学校で最も一般的に使用される設定を選択できます。

Intune

デバイス プロファイルを使用すると、設定を追加および構成してから、組織内のデバイスにそれらの設定をプッシュすることができます。 ポリシーを作成する場合、いくつかのオプションがあります。

• 設定カタログ: 設定カタログを使用して、利用可能なすべての設定を 1 つの場所に表示します。 たとえば、ネットワークに適用されるすべての設定を確認し、BitLocker のみに焦点を当てたポリシーを作成することができます。

  詳細については、「設定カタログ」を参照してください。

• テンプレート: テンプレートには、VPN、メール、キオスク デバイスなどの機能や概念を構成する設定の論理的なグループが含まれています。 Microsoft Intune でのデバイス構成ポリシーの作成に慣れている場合は、既にこれらのテンプレートを使用しています。

  使用可能なテンプレートを含む詳細については、デバイス プロファイルを使用してデバイスに機能と設定を適用する方法に関する記事を参照してください。

Intune For Education

Intune for Education で設定を管理するには、次の 2 つの方法があります:

• 簡単構成。 このオプションは、学校環境でよく使用される設定の選択を構成するために使用されます。
• グループ設定。 このオプションは、Intune for Education によって提供されるすべての設定を構成するために使用されます。

注:

簡易構成は、作業を開始する際に最適です。 設定は Microsoft が推奨する値に事前に構成されていますが、学校のニーズに合わせて変更できます。

簡易構成を使用すると、わずか数ステップで Intune for Education を起動して実行できます。 デバイスまたはユーザーのグループを選択し、配布するアプリケーションを選択し、学校で最も一般的に使用される設定を選択できます。

ヒント

Intune for Education で詳細を確認し、手順を追って簡易構成を実践するには、この対話型デモをお試しください。

デバイスの設定

✅ 設定を構成してデバイスに割り当てる

Intune

Microsoft Intune でデバイス構成プロファイルを作成するには、次の手順に従う必要があります:

• Microsoft Intune 管理センターにサインインします。
• [デバイス>管理デバイス>構成>+ プロファイルの作成] に移動します。
• Windows 10 以降として [プラットフォーム] を選択します。
• プロファイルの種類の選択:
  • 全般設定については、[設定カタログ] を選択します。
  • 証明書、Wi-Fi、VPN などのテンプレートの場合は、[テンプレート] を選択 し、必要なテンプレートを選択します。
• 手順に従って、必要に応じてプロファイルを作成および構成します。

Intune For Education

グループは、同様の管理ニーズを持つユーザーとデバイスを管理するために使用され、多くのデバイスまたはユーザーに一度に変更を適用できます。 使用可能なグループ設定を確認するには:

1. Intune for Education ポータルにサインインします。
2. [グループ]> [管理対象のグループを選択] を選択します。
3. [Windows デバイスの設定] を選択します。
4. さまざまなカテゴリを展開し、個々の設定に関する情報を確認します。

学生のデバイス用に一般的に構成される設定は次のとおりです:

• 壁紙とロック画面の背景。 「画面とデスクトップ」を参照してください。
• Wi-Fi 接続。 「Wi-Fi プロファイルの追加」をご覧ください。
• 統合テストおよび評価ソリューション有効化 テストを受ける。 「プロファイルの追加」を参照してください。

詳細については、「Intune for Education の Windows デバイス設定」を参照してください。

注:

より高度なデバイス設定が必要な場合は、Microsoft Intune で作成できます。 詳細情報については、「デバイス プロファイルを使用してデバイスに機能と設定を適用する」を参照してください。

Intune

Microsoft Intune でデバイス構成プロファイルを作成するには、次の手順に従う必要があります:

• Microsoft Intune 管理センターにサインインします。
• [デバイス>管理デバイス>構成>+ プロファイルの作成] に移動します。
• iOS/iPadOS として [プラットフォーム] を選択 します。
• プロファイルの種類の選択:
  • 全般設定については、[設定カタログ] を選択します。
  • 証明書、Wi-Fi、VPN などのテンプレートの場合は、[テンプレート] を選択 し、必要なテンプレートを選択します。
• 手順に従って、必要に応じてプロファイルを作成および構成します。

Intune For Education

グループは、同様の管理ニーズを持つユーザーとデバイスを管理するために使用され、多くのデバイスまたはユーザーに一度に変更を適用できます。 使用可能なグループ設定を確認するには:

1. Intune for Education ポータルにサインインします。
2. [グループ]> [管理対象のグループを選択] を選択します。
3. [iOS デバイスの設定] を選択します。
4. さまざまなカテゴリを展開し、個々の設定に関する情報を確認します。

学生のデバイス用に一般的に構成される設定は次のとおりです:

• ロック画面と壁紙。 ｢ロック画面と壁紙」を参照してください。
• Wi-Fi 接続。 「Wi-Fi プロファイルの追加」をご覧ください。

詳細情報については、「Intune for Education の iOS デバイス設定」を参照してください。

注:

より高度なデバイス設定が必要な場合は、Microsoft Intune で作成できます。 詳細情報については、「デバイス プロファイルを使用してデバイスに機能と設定を適用する」を参照してください。

更新ポリシー

✅ 更新ポリシーを構成し、デバイスに割り当てる

Intune

Windows デバイスを最新のセキュリティ更新プログラムで最新の状態に保つことが重要です。 Intune を使用して Windows Update ポリシーを作成できます。

• Windows Update for Business とは?
• Intune で Windows ソフトウェア更新プログラムを管理する

Intune For Education

Windows デバイスを最新のセキュリティ更新プログラムで最新の状態に保つことが重要です。 Intune for Education を使用して、Windows Update ポリシーを作成できます。

Windows Update ポリシーを作成するには:

1. [グループ]> [管理対象のグループを選択] を選択します。
2. [Windows デバイスの設定] を選択します。
3. カテゴリの [更新とアップグレード] を展開します。
4. 必要に応じて、必要な設定を構成します。

詳細情報については、「更新とアップグレード」を参照してください。

注:

より複雑な Windows Update ポリシーが必要な場合は、Microsoft Intune で作成できます。 詳細情報:

• Windows Update for Business とは?
• Intune で Windows ソフトウェア更新プログラムを管理する

Intune

最新のセキュリティ更新プログラムを使用して iOS デバイスを最新の状態に保つことが重要です。 Intune では、次の 3 つの方法を使用してコントロールの更新を作成できます。

• オプション 1 - iOS および iPadOS 17.0 以降のデバイス (推奨) - 管理されたソフトウェア更新ポリシー。
• オプション 2 - iOS および iPadOS 17.0 以前 (推奨) - ソフトウェア更新ポリシー。
• オプション 3 (推奨されません) - エンド ユーザーが更新プログラムを手動でインストールします。

Devices>Manage devices>Configuration>Create>Settings catalog>Restrictions では、次の設定を使用して、更新プログラムがリリースされてからユーザーが手動で更新プログラムをインストールできる時間を遅らせることができます。

• ソフトウェア更新プログラムを延期する: はい/いいえ
• ソフトウェア更新プログラムの既定の表示を遅らせる: 0 ~ 90

ヒント

[設定カタログ]>[宣言型デバイス管理]>[ソフトウェア更新] の設定は、[設定カタログ]>[制限] 設定よりも優先されます。 詳細情報については、「iOS 更新ポリシーの設定の優先順位」を参照してください。

詳細情報については、「Microsoft Intune の監視対象 iOS/iPadOS デバイスのソフトウェア更新計画ガイドとシナリオ」を参照してください。

Intune For Education

最新のセキュリティ更新プログラムを使用して iOS デバイスを最新の状態に保つことが重要です。 Intune for Education を使用して、Intune が iOS デバイスをトリガーして更新するタイミングを制御できます。

iOS 更新制限ポリシーを作成するには:

1. [グループ]> [管理対象のグループを選択] を選択します。
2. [iOS デバイスの設定] を選択します。
3. カテゴリの [更新の制限] を展開します。
4. 必要に応じて、必要な設定を構成します。

Intune コンソールのその他の更新オプションの詳細情報については、「Microsoft Intune の監視対象 iOS/iPadOS デバイスのソフトウェア更新プログラムの計画ガイドとシナリオ」を参照してください。

セキュリティ ポリシー

✅ セキュリティ ポリシーを構成してデバイスに割り当てる

Intune

管理対象デバイスが、Windows で使用できるさまざまなセキュリティ テクノロジを使用してセキュリティで保護されていることを確認することが重要です。

• ウイルス対策
• ディスク暗号化
• ファイアウォール
• エンドポイントでの検出と対応
• 攻撃面の減少
• アカウントの保護
• セキュリティ基準計画
• ローカル管理者パスワード ソリューション
• Edge での Web コンテンツ のフィルター処理

Intune For Education

管理対象デバイスが、Windows で使用できるさまざまなセキュリティ テクノロジを使用してセキュリティで保護されていることを確認することが重要です。 Intune for Education には、デバイスをセキュリティで保護するためのさまざまな設定が用意されています。

セキュリティ ポリシーを作成するには:

1. [グループ]> [管理対象のグループを選択] を選択します。
2. [Windows デバイスの設定] を選択します。
3. [セキュリティ] カテゴリを展開します。
4. 必要に応じて、次のような必要な設定を構成します。
   • Windows Defender
   • Windows 暗号化
   • Windows SmartScreen

詳細については、「セキュリティ」を参照してください。

注:

より高度なセキュリティ ポリシーが必要な場合は、Microsoft Intune で作成できます。 詳細については、以下を参照してください:

• ウイルス対策
• ディスク暗号化
• ファイアウォール
• エンドポイントでの検出と対応
• 攻撃面の減少
• アカウントの保護
• セキュリティ基準計画
• ローカル管理者パスワード ソリューション
• Edge での Web コンテンツ のフィルター処理

Intune

Intune では、[設定カタログ] を使用して iOS セキュリティ設定を構成できます。

Microsoft Intune で設定カタログ デバイス構成プロファイルを作成するには、次の手順に従う必要があります:

• Microsoft Intune 管理センターにサインインします。
• [デバイス>管理デバイス>構成>+ プロファイルの作成] に移動します。
• iOS/iPadOS として [プラットフォーム] を選択 します。
• [プロファイルの種類] を選択します。
• [設定カタログ] を選択します。
• 手順に従って、必要に応じてプロファイルを作成および構成します。

セキュリティの一般的な領域には以下が含まれます:

• 制限
• セキュリティ

Intune For Education

Intune for Education では、グループを使用して iOS セキュリティ設定を構成できます。

1. [グループ]> [管理対象のグループを選択] を選択します。
2. [iOS デバイスの設定] を選択します。
3. 必要に応じて、必要な設定を構成します。

セキュリティの一般的な領域には以下が含まれます:

• デバイスの制限
• パスコード、タッチ ID、Face ID

注:

より高度なセキュリティ設定が必要な場合は、Microsoft Intune で作成できます。 詳細情報については、「デバイス プロファイルを使用してデバイスに機能と設定を適用する」を参照してください。

---

次の手順

デバイスの設定を構成したので、学生と教師のデバイスに展開するアプリケーションを構成できます。

次: アプリケーションの構成>