次の方法で共有

Microsoft Intune をセットアップする

  • [アーティクル]

適切なツールとリソースがないと、学校環境で数百または数千のデバイスを管理するのは、複雑で時間のかかる作業になる場合があります。 Microsoft Intune は、大規模なデバイスの管理を簡素化するサービスのコレクションです。

Microsoft Intune サービスは、さまざまな方法で管理できます。

  • Intune 管理センター は、登録フェーズから終了まで、デバイス ライフサイクル全体をサポートする主要な Intune インターフェイスです。 IT 管理者は、Intune でサポートされているすべてのプラットフォームで、すべての設定を管理できます。

  • Intune for Education は、登録フェーズから終了まで、デバイス ライフサイクル全体をサポートする Intune のキュレーションされたビューです。 IT 管理者は、一括登録オプションと合理化された展開を使用して、クラスルーム デバイスの管理を開始できます。 学年度の終わりに、IT 管理者はデバイスをリセットして、次の年の準備ができていることを確認できます。

    Intune for Education のダッシュボード

    詳細については、Intune for Education のドキュメントを参照してください。

ヒント

IntuneIntune for Education はどちらも Intune サービスを構成します。 一方の本体で行われた変更は、もう一方の本体に反映されます。 ただし、Intune for Education では、Windows と iPadOS での簡易な K-12 シナリオに合わせて限定された一部のポリシーとアプリの種別だけがサポートされます。

このセクションでは、次のことを行います。

  • Intune のライセンスの前提条件を確認する
  • 教育機関向けデバイス用に Intune サービスを構成する

前提条件

✅ デバイス管理の要件を確認する

Intune で設定を構成する前に、次の前提条件を考慮してください:

  • Intune のサブスクリプション。 Microsoft Intune には、次の 3 つの方法でライセンスが付与されます:
  • Intune for Education デバイス プラットフォーム。 Intune for Education では、サポートされているバージョンの Windows 10、Windows 11、Windows 11 SE、iPadOS を実行しているデバイスを管理できます
  • Intune デバイス プラットフォーム。 Intune では、サポートされているバージョンの Windows 10、Windows 11、Windows 11 SE、iOS、iPadOS、macOS、Android、Linux を実行しているデバイスを管理できます
  • ネットワーク要件。 必要なすべてのネットワーク エンドポイントが SSL 検査や任意の種類のフィルター処理なしでアクセスできることを確認します。 エンドポイントの一覧については、「Microsoft Intune のネットワーク エンドポイント」を参照してください。

詳細については、Intune ライセンスこの比較シートを参照してください。これには、Microsoft Modern Work Plan for Education の詳細な表が含まれています。

Intune service for Education デバイスを構成する

Intune サービスは、学校のニーズに応じてさまざまな方法で構成できます。 このセクションでは、K-12 学区で一般的に実装される設定を使用して Intune サービスを構成します。

登録制限の構成

✅ 管理できるデバイスを制限する

登録制限を使用すると、Intune で登録および管理できるデバイスを制御できます。 たとえば、個人用デバイスの登録を禁止できます。

個人所有のデバイスの登録をブロックするには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [デバイス]>[デバイスの登録]>[デバイス プラットフォームの制限] の順に選択します。
  3. 制限するプラットフォームのタブを選択します。
  4. [制限の作成] を選択します。
  5. [基本情報] ページで、制限の名前を指定し、必要に応じて >[次へ] という説明を入力します。
  6. [プラットフォームの設定] ページの [個人所有デバイス] フィールドで、[ブロック]>[次へ] の順に選択します。 このスクリーンショットは、Microsoft Intune 管理センターのデバイス登録制限ページです。
  7. 必要に応じて、[スコープ タグ] ページで、スコープ タグ >[次へ] を追加します。
  8. [割り当て] ページで [グループの追加] を選択し、検索ボックスを使用して、制限を適用するグループを検索して選択し、>[次へ] を選択します。
  9. [確認と作成] ページで、[作成] を選択して制限を保存します。

詳細については、「デバイスの上限数のプラットフォームを作成する」を参照してください

オプションの構成

✅ オプションのテナント構成を構成する

Windows の登録を構成する

✅ Windows デバイスを登録できるユーザーを構成する

  1. Microsoft Intune 管理センターにサインインします。
  2. [デバイス]>[デバイスの登録]>[自動登録] の順に選択します。
  3. [MDM ユーザー スコープ][すべて] または [一部] に設定し、登録を特定のユーザーに制限する場合はグループを選択します。

    重要

    プロビジョニング パッケージを使用してデバイスを登録する場合は、MDM ユーザー スコープを [すべて] に設定する必要があります。

  4. [MAM ユーザー スコープ][なし] に設定します。 MDM ユーザー スコープと MAM ユーザー スコープを示すスクリーンショット。
  5. [保存] を選択します。

詳細については、「Windows の自動登録を有効にする」を参照してください。

Windows Hello for Business を無効にする

✅ 通常は学生がアクセスできない機能を無効にする

Windows Hello for Business は、ユーザーが PIN、パスワード、または指紋を使用してデバイスにサインインできるようにする生体認証機能です。 Windows Hello for Business は Windows デバイスで既定で有効になっており、設定するには、ユーザーが多要素認証 (MFA) を実行する必要があります。 そのため、この機能は、MFA を有効にしていない学生には適していない可能性があります。

Windows Hello for Business がテナント レベルで無効になるのは一般的です。 その後、ポリシーを必要とするユーザーまたはデバイスでポリシーを設定できます。 たとえば、スタッフや教師などです。

テナント レベルで Windows Hello for Business を無効にするには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [ デバイス>By platform>Windows>Device onboarding>Enrollment] を選択します。
  3. [Windows Hello for Business] を選択します。
  4. [Windows Hello for Business の構成][無効] に設定されていることを確認します。
  5. [保存] を選択します。

Microsoft Intune 管理センターからの Windows Hello for Business を無効化にする。

特定のデバイスでWindows Hello for Businessを有効にする方法の詳細については、「Windows Hello for Business ポリシー の作成」を参照してください。

[Intune データ収集ポリシー] を選択します

✅ エンドポイント分析を構成する

Intune には、Windows デバイス上のエンドポイント分析のデータを収集するためのアクセス許可が必要です。

データ収集を有効にするには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [レポート]>[エンドポイント分析]>[設定] の順に選択します。
  3. [Intune データ収集ポリシー] で、[Intune データ収集ポリシー] を選択します。 Intune データ収集ポリシーの選択。
  4. [プロパティ] をクリックします。
  5. [構成設定] で、[追加] を選択します。
  6. [正常性監視][有効] に設定します。
  7. [スコープ] を選択 し、[エンドポイント分析] のチェックをオンにします。 Intune データ収集ポリシーの構成を示すスクリーンショット。
  8. [確認と保存] を選択します。
  9. [保存] を選択します。

データ収集の詳細については、「エンドポイント分析のデータ収集」を参照してください。

Windows データの構成

✅ テナント Windows データの設定を構成する

Intune には、Windows デバイス上の Windows Update レポートの特定のデータを収集するためのアクセス許可が必要です。

  1. Microsoft Intune 管理センターにサインインします。
  2. [テナント管理]>[コネクタとトークン]>[Windows データ] の順に選択します
  3. [Windows データ][オン] を選択します。
  4. [Windows ライセンスの確認] セクションを確認し、ライセンスに従って構成します。 Intune Windows データの設定の構成を示すスクリーンショット。
  5. [保存] をクリックします。

詳細については、「Intune によるWindows 診断データの使用を有効にする」を参照してください。

Windows デバイス診断の診断

✅ 診断情報のリモート取得を許可する

  1. Microsoft Intune 管理センターにサインインします。
  2. [テナント管理]>[デバイス診断] を選択します。
  3. 要件に従って設定を構成します。

次の表では、お客様によって最も一般的に設定される設定を示しますが、学校のニーズに合わせてカスタマイズできます。

設定 一般的な構成
デバイス診断は、Windows 10、バージョン 1909 以降、または Windows 11 を実行している企業が管理するデバイスで使用できます。 診断には、ユーザーまたはデバイス名などの個ジョインを特定できる情報が含まれる場合があります。 Enabled
Windows 10 バージョン 1909 以降および Windows 11 で Autopilot プロセス中にデバイスでエラーが発生した場合に診断を自動的にキャプチャします。 診断には、ユーザーまたはデバイス名などの個ジョインを特定できる情報が含まれる場合があります。 Enabled

詳細については、「Windows デバイスから診断情報を収集する」を参照してください。

(省略可能) 登録状態ページの構成

Windows Autopilot を使用して Intune に Windows デバイスを登録する場合は、[登録状態] ページを有効にすることを検討してください。

登録状態ページ (ESP) には、Windows デバイスを登録して初めてサインインするユーザーへのプロビジョニング状態が表示されます。 必要なすべてのポリシーとアプリケーションがインストールされるまで、デバイスの使用をブロックするように ESP を構成できます。 デバイス ユーザーは ESP を調べて、セットアップ プロセスにおけるデバイスの距離を追跡できます。

追加情報 :

次の表では、お客様によって最も一般的に設定される設定を示しますが、学校のニーズに合わせてカスタマイズできます。

ブレード 構成グループ 設定
Windows の登録 [全般]\[登録の状態] ページ 既定\アプリとプロファイル構成の進行状況を表示 はい
Windows の登録 [全般]\[登録の状態] ページ 既定\インストールに指定した分数を超える時間がかかる場合にエラーを表示する 120
Windows の登録 [全般]\[登録の状態] ページ 既定\時間制限またはエラーの発生時にカスタム メッセージを表示する はい
Windows の登録 [全般]\[登録の状態] ページ エンド ユーザーのログ収集と診断ページをオンにする はい
Windows の登録 [全般]\[登録の状態] ページ 既定\最初の実行エクスペリエンス (OOBE) によってプロビジョニングされたデバイスにのみページを表示する はい
Windows の登録 [全般]\[登録の状態] ページ 登録ステータス ページ\既定\必要なアプリがユーザー/デバイスに割り当てられている場合にインストールされるまでデバイスの使用をブロックする [すべて] または [選択済み] で、最低限必要なアプリを指定します。

たとえば、Microsoft 365 アプリや Web コンテンツ フィルタリング のソフトウェアなどです。

Apple MDM 証明書の設定

Apple MDM 証明書を設定するには、「Apple MDM プッシュ証明書を取得する」を参照してください。

重要

Apple MDM 証明書は毎年更新する必要があります。 証明書を追加してから 1 年未満で証明書を更新するには、予定表にメモを入れる必要があります。 有効期限はいつでもコンソールで確認できます。

Volume Purchase Program (VPP) の構成

Apple VPP を設定するには、「Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法」を参照してください。

重要

Apple VPP トークンは毎年更新する必要があります。 予定表にメモを入れ、トークンを追加してから 1 年未満でトークンを更新しましょう。 有効期限はいつでもコンソールで確認できます。

Automated Device Enrollment (ADE) の構成

Apple School Manager を統合し、自動デバイス登録を使用する場合は、次の手順に従います。

Apple MDM 証明書を設定するには、「Intune での自動デバイス登録の設定」を参照してください。

重要

Apple ADE トークンは毎年更新する必要があります。 予定表にメモを入れ、トークンを追加してから 1 年未満でトークンを更新しましょう。 有効期限はいつでもコンソールで確認できます。

次の手順

Intune サービスを構成すると、学生と教師のデバイスの展開に備えてポリシーとアプリケーションを構成できます。

次: デバイスを構成する >