Microsoft Intune

解決する課題

社員が使う PC やスマホが社内・社外・私物と多様化するなかで、端末を物理的に集めずにクラウドから構成・更新・保護したい場面で使います。情報システム部門が一台ずつ手作業で設定する運用を、ポリシーによる自動適用に置き換えられます。

• 在宅・外出先の端末も含め、どこにあっても同じセキュリティ設定を強制したい
• OS 更新・パッチ・アプリ配布を手作業せず自動で行き渡らせたい
• 私物端末（BYOD）に業務データだけを安全に載せ、退職時に業務データだけ消したい
• 端末の**準拠状態（暗号化・パスコード・更新）**を可視化し、未準拠の端末はアクセスを止めたい
• キッティング作業を減らし、箱から出してすぐ使えるゼロタッチ展開にしたい

主要概念と用語

• MDM（モバイルデバイス管理）: 端末そのものを管理対象として登録し、OS 設定・暗号化・ワイプなどを端末全体に適用する方式
• MAM（モバイルアプリケーション管理）: 端末を登録せず、業務アプリとその中のデータだけを保護する方式。私物端末（BYOD）向き
• 登録（エンロール）: 端末を Intune の管理下に置く操作。ユーザー主導の登録と、自動登録（Autopilot や Apple/Android の自動登録）がある
• 構成プロファイル: Wi-Fi・VPN・証明書・パスコード・暗号化などの設定をまとめ、端末に配布するポリシー
• コンプライアンスポリシー: 暗号化・OS バージョン・パスコードなどの準拠条件を定義し、満たさない端末を未準拠と判定する
• アプリ保護ポリシー（APP）: アプリ内のコピー&ペーストや保存先を制限し、業務データの持ち出しを防ぐ MAM の中核
• Windows Autopilot: 新品 PC を初回サインインだけで業務構成に自動セットアップするゼロタッチ展開の仕組み
• Endpoint Analytics: 起動時間やアプリのクラッシュなど、端末の利用体験（エクスペリエンス）を可視化する機能
• Microsoft Intune Suite: 高度なエンドポイント管理（リモートヘルプ、特権管理など）を束ねた上位プラン

仕様・制限・クォータ

• 管理対象 OS は Windows・iOS/iPadOS・Android・macOS が中心で、OS ごとに使える設定項目や登録方式が異なる
• ID 基盤は Microsoft Entra ID で、ユーザーやグループに対してポリシーを割り当てる
• 1 ユーザーが登録できる端末数や、1 テナントあたりの管理端末数には上限が定められているため、大規模展開時は確認する
• iOS / Android の管理は Apple Business Manager や Android Enterprise などプラットフォーム側のプログラムと連携して機能する
• ポリシーは即時ではなく、端末のチェックイン間隔に応じて反映に時間差が生じる。手動同期で前倒しできる

内部の仕組み

Intune はクラウド上のサービスとして動き、端末側のエージェント（Windows なら MDM クライアント、モバイルは OS 標準の管理機能）と定期的に通信します。管理者がポータルでポリシーを定義すると、端末がチェックインしたタイミングでポリシーを取得し、結果（準拠/未準拠）をクラウドへ報告します。

• 管理者は Microsoft Intune 管理センターでポリシーやアプリを定義し、Entra ID のグループに割り当てる
• 端末は定期的にサービスへチェックインし、自分に割り当てられたポリシーを受け取って適用する
• 適用結果は準拠状態としてクラウドに集約され、レポートや条件付きアクセスの判断材料になる
• 条件付きアクセスは Intune の準拠判定を入力として受け取り、未準拠の端末からのアクセスを拒否できる

設計パターン / ベストプラクティス

• 業務端末は MDM、私物端末は MAM: 会社支給の端末は端末全体を管理し、BYOD はアプリ保護ポリシーで業務データだけ守る
• 新規 PC は Autopilot でゼロタッチ: キッティングをやめ、初回サインインで構成・アプリ・暗号化を自動適用する
• ポリシーはグループ単位で割り当て: 端末個別ではなく Entra ID の動的グループにあて、対象の増減を自動化する
• 準拠ポリシーと条件付きアクセスを必ず連携: 準拠判定を作るだけでなく、未準拠端末のアクセスを止める制御まで設定する
• 更新はリングで段階展開: パイロット部門に先に配信し、問題がなければ全社へ広げて影響を抑える
• 退職・紛失時はワイプを使い分け: MDM はフルワイプ、MAM や選択的ワイプは業務データだけ消去して私物データを残す

運用・監視

• 管理センターのレポートで、端末の準拠状況・ポリシーの適用エラー・アプリのインストール結果を確認する
• Endpoint Analytics で起動時間やクラッシュ率を把握し、利用体験の劣化を早期に検知する
• ポリシーが反映されないときは、端末のチェックイン状況、割り当て先グループ、ポリシー同士の競合を切り分ける
• 登録が失敗するときは、ライセンス割り当て・プラットフォーム連携（Apple/Android）の設定・登録制限を確認する
• 更新やアプリ配布は段階展開とロールバックを前提に運用し、問題があれば割り当てを外して影響を止める

コスト

Intune は端末数ではなくユーザー単位のサブスクリプションで課金され、対象の Microsoft 365 や Enterprise Mobility + Security のライセンスに含まれる形が基本です。

• ライセンスはユーザー単位で、1 ユーザーが複数台を登録しても追加課金は基本的に発生しない
• 高度な機能（リモートヘルプ、特権管理など）は Intune Suite の追加ライセンスが必要になる
• Intune 自体に従量のインフラ費用はなく、ライセンス費用が中心となる
• 関連して使う Entra ID の上位機能（条件付きアクセスなど）にも対応するライセンスが要る点に注意する

セキュリティ

• 準拠した端末だけにアクセスを許可: 条件付きアクセスと連携し、暗号化や更新が未適用の端末を業務から締め出す
• アプリ保護ポリシーでデータ持ち出しを制限: 業務アプリから私物アプリへのコピーや保存を禁止し、情報漏えいを防ぐ
• 暗号化を強制: Windows は BitLocker、モバイルはストレージ暗号化をポリシーで必須化する
• 選択的ワイプで業務データだけ消去: 紛失・退職時に、私物データを残したまま業務データのみを削除する
• RBAC で運用権限を分離: ポリシー作成・端末ワイプ・読み取りなどの権限を役割ごとに分ける
• 多要素認証は条件付きアクセスで強制し、端末の状態や場所に応じてアクセスを段階的に制御する

関連サービス・比較

同じ端末管理の領域では、Apple 端末に強い Jamf や、マルチプラットフォーム管理の VMware Workspace ONE が代表的な対抗サービスです。Microsoft 365 との統合を重視するか、特定プラットフォームへの最適化を重視するかで選択が変わります。

ハンズオン / CLI例

Intune の管理操作は主に Microsoft Graph API や管理センターで行いますが、az CLI ではライセンスや前提となる Entra ID 側の確認に使えます。次は Microsoft Graph を Azure CLI 経由で呼び、管理対象端末の一覧を取得する例です。

# サインイン
az login

# Microsoft Graph 経由で Intune の管理対象端末を一覧表示
az rest \
  --method GET \
  --url "https://graph.microsoft.com/v1.0/deviceManagement/managedDevices" \
  --headers "Content-Type=application/json"

# 特定端末の準拠状態を確認（deviceId は上の一覧から取得）
az rest \
  --method GET \
  --url "https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/<device-id>?\$select=deviceName,complianceState,operatingSystem"