手順 2。 Intune を使用してデバイスを管理に登録する
エンドポイントを保護する方法はいくつかあります。この用語は、デバイス、アプリ、ユーザー ID などの結合されたエンティティを指すためによく使用されます。 セキュリティ ポリシーは、アプリだけでなくデバイス自体にも一貫して確実に適用する必要があります。 デバイスをMicrosoft Intuneに登録し、Microsoft Entra IDなどのクラウド ID プロバイダーに登録することは、優れたスタートです。
デバイスが個人所有の Bring Your Own Device (BYOD) か、企業所有のフル マネージド デバイスのいずれであっても、organizationのリソースにアクセスするエンドポイントを可視化して、正常で準拠したデバイスのみを許可するようにすることをお勧めします。 この可視性には、エンドポイントで実行されるモバイル アプリとデスクトップ アプリの正常性と信頼性が含まれている必要があります。 これらのアプリが正常で準拠していること、および悪意のある意図や偶発的な手段によって企業データがコンシューマー アプリやサービスに漏洩するのを防ぐ必要があります。
デバイス登録プロセスは、ユーザー、デバイス、および Microsoft Intune サービス間の関係を確立します。 Microsoft Intune をスタンドアロン サービスとして使用すると、単一の Web ベースの管理コンソールを使用して、Windows PC、macOS、および最も一般的なモバイル デバイス プラットフォームを管理できます。
この記事では、デバイスをIntuneに登録する方法をお勧めします。 これらのメソッドと各メソッドの展開方法の詳細については、「展開ガイダンス: Microsoft Intune にデバイスを登録する」を参照してください。
この記事のガイダンスは、この図に示す各プラットフォームの登録オプションと共に使用してください。
Windows の登録
Windows 10 および Windows 11 デバイスを登録するためのいくつかのオプションがあります。 最も一般的な方法には、次の 2 つがあります。
Microsoft Entra ID参加: デバイスをMicrosoft Entra IDに参加させ、ユーザーがMicrosoft Entra資格情報を使用して Windows にサインインできるようにします。 Intune内で自動登録が構成されている場合、デバイスは自動的にIntuneに登録されます。 自動登録の利点は、ユーザーのシングル ステップ プロセスです。 それ以外の場合は、MDM のみの登録を使用して個別に登録し、資格情報を再入力する必要があります。 ユーザーは、初期 Windows Out-of-Box Experience (OOBE) または [設定] から、この方法で登録します。 登録したデバイスは、Intune の会社所有デバイスとしてマークされます。
Windows Autopilot:Microsoft Entra参加を自動化し、新しい企業所有デバイスをIntuneに登録します。 この方法では、Out-of-Box Experience が簡略化され、カスタム オペレーティング システム イメージをデバイスに適用する必要がなくなります。 管理者が Intune を使用して Autopilot デバイスを管理する場合、管理者は登録後にポリシー、プロファイル、アプリなどを管理できます。 Autopilot 展開には次の 4 種類があります。
Self-Deploying モード (キオスク、デジタル サイネージ、または共有デバイスの場合)
ユーザー ドリブン モード (従来のユーザーの場合)
事前にプロビジョニングされた展開用の Windows Autopilot を使用すると、パートナーまたは IT スタッフは、Windows 10またはWindows 11を実行している PC を事前にプロビジョニングして、完全に構成され、ビジネスに対応できるようにします。
Autopilot を既存デバイスに使用すると、最新バージョンの Windows を既存のデバイスに簡単に展開できます。
BYOD Windows デバイスの登録などの追加オプションについては、「Windows デバイス向け Intune 登録メソッド」を参照してください。
iOS および iPadOS の登録
ユーザー所有の BYOD デバイスの場合、次のいずれかの方法を使用して、ユーザーが個人用デバイスをIntuneに登録できます。
- デバイス登録は、一般的な BYOD 登録と考えられるものです。 これにより、管理者は幅広い管理オプションを使用できるようになります。
- ユーザー登録は、管理者にデバイス管理オプションのサブセットを提供する、より合理化された登録プロセスです。
ユーザー用にデバイスを購入する組織の場合、Intune は次の iOS / iPadOS 会社所有のデバイス登録方法をサポートしています。
- Apple の自動デバイス登録 (ADE)
- Apple School Manager
- Apple Configurator セットアップ アシスタントでの登録
- Apple Configurator の直接登録
詳細については「iOS/iPadOS デバイスを Intune に登録する」を参照してください。
Android の登録
Android 登録には、デバイスの種類、サポートする登録の種類、使用している Android バージョンなどの要因、製造元 (特に Samsung) によって異なります。 ほとんどの組織は、特に BYOD シナリオで、エンド ユーザーに Android Work プロファイルを使用しています。
Android 仕事用プロファイルでは、エンド ユーザーの情報はデータ コンテナーと個別に分離され、仕事用と個人用のアプリが分離されます。 これは、ユーザーが自分のデータのプライバシーと企業データのセキュリティを維持しながら、デバイスを登録するための理想的な方法です。
ただし、組織が Android デバイスを提供している場合は、完全に管理された (User Affinity) または専用 (ユーザー アフィニティなし) デバイスと呼ばれるデバイスを使用することもできます。
Android の登録と自動化された Android の登録の詳細については、「Android デバイスの登録」を参照してください。
macOS の登録
macOS への登録は、多くの IT 組織にとって難しい問題になる可能性があります。 ほとんどのユーザーが Mac ユーザーでない限り、これらの種類のデバイスを広範囲に管理していない可能性があります。 macOS ユーザーが少ない場合は、Intuneのみの登録をお勧めします。 macOS ユーザーが多数いる場合は、Intune + Jamf 登録をお勧めします。
- Intune専用登録: この登録では、macOS デバイスの基本的な管理がサポートされます。 他のほとんどのユーザー ベースの登録オプションと同様に、手動プロセスが必要です。 ただし、Mac デバイスの数が少ない場合は、少数のユーザーに対して自動化されたインフラストラクチャ全体を設定するよりも簡単な場合があります。 Intuneのみの登録では、証明書、パスワード構成、アプリケーションなどを展開できます。 コンプライアンス ポリシーを構成し、条件付きアクセスを有効にし、暗号化とデバイスワイプを適用することもできます。
- Intuneと Jamf 登録: Mac 管理をより深くサポートする場合は、条件付きアクセスに Jamf + Intuneを使用します。 Microsoft には、Jamf の広範な Mac 管理機能と条件付きアクセス ポリシーへのIntune準拠を組み合わせた優れたソリューションがあります。 このシナリオでは、引き続き Jamf を使用してデバイスを完全に管理しながら、Jamf からこれらの信号を取得してセキュリティを強化します。
macOS登録の詳細については、「Intune での macOS デバイスの登録の設定」を参照してください。