手順 2。 Intune を使用してデバイスを管理に登録する
エンドポイントを保護する方法はいくつかあります。この用語は、デバイス、アプリ、ユーザー ID などの結合されたエンティティを指すためによく使用されます。 セキュリティ ポリシーは、アプリだけでなくデバイス自体にも一貫して確実に適用する必要があります。 デバイスをIntuneに登録し、Microsoft Entra IDなどのクラウド ID プロバイダーに登録することは、優れたスタートです。
デバイスが個人所有の Bring Your Own Device (BYOD) であるか、企業所有のフル マネージド デバイスであるかに関係なく、organizationのリソースにアクセスするエンドポイントを可視化して、正常で準拠したデバイスのみを許可するようにすることをお勧めします。 これには、エンドポイントで実行されるモバイル アプリとデスクトップ アプリの正常性と信頼性が含まれます。 これらのアプリが正常で準拠していること、および悪意のある意図や偶発的な手段によって企業データがコンシューマー アプリやサービスに漏洩するのを防ぐ必要があります。
デバイス登録プロセスは、ユーザー、デバイス、および Microsoft Intune サービス間の関係を確立します。 Microsoft Intune をスタンドアロン サービスとして使用すると、単一の Web ベースの管理コンソールを使用して、Windows PC、macOS、および最も一般的なモバイル デバイス プラットフォームを管理できます。
この記事では、デバイスをIntuneに登録する方法をお勧めします。 これらのメソッドと各メソッドの展開方法の詳細については、「展開ガイダンス: Microsoft Intune にデバイスを登録する」を参照してください。
この記事のガイダンスは、この図に示す各プラットフォームの登録オプションと共に使用してください。
Windows の登録
Windows 10 および Windows 11 デバイスを登録するためのいくつかのオプションがあります。 最も一般的な方法には、次の 2 つがあります。
Microsoft Entra ID参加: デバイスをMicrosoft Entra IDに参加させ、ユーザーがMicrosoft Entra資格情報を使用して Windows にサインインできるようにします。 自動登録が有効になっている場合、デバイスは Intune に自動的に登録されます。 自動登録の利点は、ユーザーの単一ステップ プロセスです。 それ以外の場合、MDM の登録のみで個別に登録し、資格情報を再入力する必要があります。 ユーザーは、[設定] からまたは最初の Windows OOBE 時に、この方法で登録します。 デバイスは、Intune で会社所有デバイスとしてマークされます。
自動 操縦:Microsoft Entra参加を自動化し、新しい企業所有デバイスをIntuneに登録します。 この方法では、Out-of-Box Experience が簡略化され、カスタム オペレーティング システム イメージをデバイスに適用する必要がなくなります。 管理者が Intune を使用して Autopilot デバイスを管理する場合、管理者は登録後にポリシー、プロファイル、アプリなどを管理できます。 Autopilot 展開には次の 4 種類があります。
Self-Deploying モード (キオスク、デジタル サイネージ、または共有デバイスの場合)
ユーザー ドリブン モード (従来のユーザーの場合)
事前にプロビジョニングされた展開用の Windows Autopilot を使用すると、パートナーまたは IT スタッフは、Windows 10またはWindows 11を実行している PC を事前にプロビジョニングして、完全に構成され、ビジネスに対応できるようにします。
Autopilot を既存デバイスに使用すると、最新バージョンの Windows を既存のデバイスに簡単に展開できます。
BYOD Windows デバイスの登録などの追加オプションについては、「Windows デバイス向け Intune 登録メソッド」を参照してください。
iOS および iPadOS の登録
ユーザー所有 (BYOD) デバイスの場合、次のいずれかの方法を使用して、ユーザーが個人用デバイスを Intune に登録できるようにすることができます。
- デバイスの登録は、一般的な BYOD 登録と考えられます。 これにより、管理者は幅広い管理オプションを使用できるようになります。
- ユーザー登録は、管理者にデバイス管理オプションのサブセットを提供する、より合理化された登録プロセスです。 この機能は現在プレビューの段階です。
ユーザー用にデバイスを購入する組織の場合、Intune は次の iOS / iPadOS 会社所有のデバイス登録方法をサポートしています。
- Apple の自動デバイス登録 (ADE)
- Apple School Manager
- Apple Configurator セットアップ アシスタントでの登録
- Apple Configurator の直接登録
詳細については「iOS/iPadOS デバイスを Intune に登録する」を参照してください。
Android の登録
Android 登録には、デバイスの種類、サポートする登録の種類、使用している Android バージョンや製造元 (特に Samsung) などに応じて、いくつかのオプションがあります。 ほとんどの組織は、特に BYOD シナリオで、エンド ユーザーに Android Work プロファイルを使用しています。
Android 仕事用プロファイルでは、エンド ユーザーの情報は、データ コンテナーと、仕事用と個人用の個別のアプリで個別に分離されます。 これは、ユーザーが自分のデータのプライバシーと企業データのセキュリティを維持しながら、デバイスを登録するための理想的な方法です。
ただし、組織が Android デバイスを提供している場合は、完全に管理された (User Affinity) または専用 (ユーザー アフィニティなし) デバイスと呼ばれるデバイスを使用することもできます。
Android の登録と自動化された Android の登録の詳細については、「Android デバイスの登録」を参照してください。
macOS の登録
macOS への登録は、多くの IT 組織にとって難しい問題になる可能性があります。 ユーザーの大半が Mac ユーザーでない限り、これらの種類のデバイスを大きく管理していない可能性があります。 macOS ユーザーの数が少ない場合は、Intune のみの登録をお勧めします。 macOS ユーザーが多数いる場合は、Intune + Jamf 登録をお勧めします。
- Intune登録のみ: これは macOS デバイスの基本的な管理用です。 他のほとんどのユーザー ベースの登録オプションと同様に、手動プロセスが必要です。 ただし、Mac デバイスの数が少ない場合は、それらの少数のユーザー専用に自動化されたインフラストラクチャ全体をセットアップするよりも簡単な場合があります。 Intune登録のみで、証明書、パスワード構成、アプリケーションなどの機能を展開できます。 また、コンプライアンス ポリシーを構成し、条件付きアクセスを啓蒙するだけでなく、暗号化とデバイス ワイプを実施する機能も提供できます。
- Intuneと Jamf 登録: Jamf + Intune for Conditional Access を使用した Mac 管理の最も深いサポートをお探しの方のために、Microsoft には、Jamf の広範な Mac 管理機能と条件付きアクセス ポリシーへの準拠Intuneを組み合わせた優れたソリューションがあります。 このシナリオでは、引き続き Jamf を使用してデバイスを完全に管理しながら、Jamf からこれらの信号を取得してセキュリティを強化します。
macOS登録の詳細については、「Intune での macOS デバイスの登録の設定」を参照してください。