Microsoft Intuneでできること Windows編

みなさんこんにちは。

「Microsoft 365を契約していて、Intuneライセンスが付いているから折角なら活用したい。でもIntuneで何ができるのかよくわからない」

という話をよく耳にします。

調べれば何となくこんなことができるのかな、という概要は分かっても、それが実現したい内容と合っているかの判断をするのは難しいですよね。

そこで今回はある程度具体的な話を交えつつ、Windowsに対してIntuneでできることをいくつかお伝えしていこうと思います。
実はOSによってかなり機能差異がありますので、あくまでもWindowsの話と考えてください。

なお、Intuneの概要については以前記事にしていますので、こちらもよかったら参考にしてみてください。

リモートワイプ

リモートワイプとは、Intuneから強制的に端末を初期化する機能です。

昨今オフィス以外で仕事をする働き方が増えていることもあり、端末紛失のリスク対応は重要になっています。
リモートワイプ機能があると、万が一紛失した際に端末を強制初期化できるため、情報漏洩リスクを下げることができます。

実際に行う操作は、Intuneの管理センターからワイプのボタンをクリックするだけです。
至ってシンプルです。

Intune管理センターのメニュー

ワイプを行うと端末がIntuneと疎通したタイミングで強制再起動がかかり、初期化のプロセスが起動します。

ここで重要なのは、ワイプ実行の前提条件です。
ワイプを実行するには端末が起動しており、かつインターネットと通信できる必要があります。

Intuneとの通信は全てインターネット経由で行われます。
端末起動後にログオンし、さらにインターネットと通信できて初めてIntuneからの指示が実行されるわけです。

そのためワイプを実行したとしても、インターネットに繋がない状態で端末を使われたらローカルにあるファイルにはアクセスされてしまいます。

この点については攻撃者が容易にログオン出来ないよう対策したり、ローカルにファイルが長期間保存されない仕組みを導入するなどすると良いかと思います。

位置情報取得

端末を紛失した際、いきなり初期化するよりもまずは端末を探すと思います。

Intuneには端末の位置情報を取得し、地図上で表示する機能もあります。
デバイスの検索という機能です。

デバイスの検索を実行する

ただしIntuneは検索を実行したタイミングで位置情報を取得するため、定期的に過去の位置情報を保存するような使い方はできません。

そのため操作時点で電源が入っていなかったり、ネットワークにつながっていない場合は位置情報は取得できません。

プライバシーとの兼ね合いからこのような設計になっているのだと思われますが、Windowsでの実用性はあまり高くないように思います。

ログ収集

診断の収集という操作を実行すると、端末上の様々なログを取得することができます。

収集されるログの一覧はこちらに記載されています。

Intune マネージド デバイスから診断を収集する - Microsoft Intune

ただしログを見やすくしてくれる機能などは無いので、収集したログファイルを自分で解析するスキルが必要です。
また、こちらも定期的に実行するような機能ではなく、操作した際に取得するものになります。

そのため、あくまでもトラブルシューティング用と考えた方がよいかと思います。

端末の機能制御

構成プロファイルという機能を利用して、端末の設定を強制的に変更することが可能です。
ADのグループポリシーに相当する機能です。

構成プロファイルのテンプレートを利用する方法が一般的ですが、OMA-URIのパラメータを直接指定して設定を行うことも可能です。

構成サービス プロバイダー - Windows Client Management

設定できる内容は大量にあり、グループポリシーと同様にとりとめのないものとなっています。

ここは管理上の要件に合わせて設定するしかありません。
既存のグループポリシーがある場合はそれを参考にするのも良いかと思います。

なお、使い勝手の面でグループポリシーと大きく異なるのが、変更が端末にすぐに反映されないことがあるという点です。

グループポリシーの場合は基本的にADと疎通していればすぐ反映されるという信頼性があったかと思いますが、Intuneでは「よくわからんけど、何日たっても設定が当たらん」という事が割と起こります。

国井さんもわざわざこんな記事を書いてるくらいです。

Intuneの同期よ、早く来て！Intuneの同期よ、早く来て！

この記事にもあるとおり、同期ボタンを連打してナンボというところは本当にあるので、神経質な日本企業ではこうした部分がネックになる可能性はあるでしょう。

アプリケーションの配布

msiやexeといったインストーラーを端末で実行させてアプリをインストールする事ができます。
また、Microsoft Storeのアプリもインストールすることができます。

インストールの設定には少々慣れが必要ではありますが、わざわざイメージに組み込む必要がなくなりますので、初期設定はかなり楽になるのではないでしょうか。

また、最近ではIntuneアドオンでEnterprise App Managementという機能も登場しました。

アプリのラインナップはまだ少ないですが、面倒な事前設定をする必要がないので、今後は便利になっていくかもしれません。（有償だけど）

Microsoft Intune Enterprise Application Management

Windows Updateの制御

AD環境ではWindows Updateの管理はWSUSが定番ですが、Intuneでは更新リングという機能を利用します。
構成プロファイルの仲間と考えていいと思います。

WSUSのようにKB単位で適用管理するといったことはできず、適用の延期とUpdate時の挙動の設定くらいしかできません。

そのため、基本的にUpdateは受け入れる前提で、端末ごとに適用タイミングをずらして展開していく運用になります。
問題が発生したら適用を延期して修正パッチを待つ、またはロールバックするというイメージです。

延期は35日間（実際はもっと伸ばせたりもします）、ロールバックは最新の更新プログラムのみが対象になります。

スクリプトの実行

batやps1といったスクリプトをIntuneから実行する事が可能です。

以前は1回実行したら終わりだったのですが、今は「スクリプトと修復」という機能が追加され、定期実行も可能となりました。
ただし、「スクリプトと修復」にはWindowsのEnterprise相当のライセンスが必要となります。

修復

コンプライアンスポリシー

コンプライアンスポリシーの準拠判定はIntune独特の概念となるため、最初はわかりにくい部分かと思います。

まず、Intuneに登録された端末には自動的にコンプライアンス判定が行われます。

この3台は準拠しています

この判定を司るのがコンプライアンスポリシーです。

具体的には、MDAVやBitlockerのステータスなどを見て端末が安全な状態に保たれているかを判定します。

コンプライアンス判定がどこに活きてくるかというと、条件付きアクセスです。
条件付きアクセスでコンプライアンス準拠端末のみアクセス可、という構成にすることで、管理外の端末からのアクセスをブロックできます。

Defender for Endpointへのオンボード

Microsoft Defender for Endpoint（MDE）を利用する場合、Intune登録とは別にMDEへのオンボードが必要になります。
Intuneに登録済みであれば、構成プロファイルを設定することで自動的にMDEへオンボードする事ができます。

Intuneを利用しない場合は端末側でオンボード用のスクリプトを実行する必要があるため、MDEを導入する場合はIntuneとセットで導入すると何かとスムーズになります。

また、構成プロファイルでASR RuleやDefender Firewallの設定なども行う事ができます。

Windows Autopilot

Windows Autopilotでキッティングをしたい場合、Intuneを利用することになります。

細かいAutopilotの説明は今回は割愛しますが、キッティング手順の簡略化が期待できます。
ただしキッティング以外の運用工数が増えるので、そのバランスをどう考えるかがポイントになります。

個人的には、Autopilotを使ってもそこまでキッティング手順が変わらない場合も多いので、特におすすめはしていません。

まとめ

IntuneのWindows管理における主要機能についてざっくりとまとめてみましたが、いかがでしたでしょうか。

やはり実際にさわってみないことには使用感はなかなか伝わらないと思います。
まずは1台Intune登録してみて、色々な機能を試してみるのが良いのではないかと思います。

Intuneの導入を検討されている方のご参考になれば幸いです。

おまけ：Intuneは資産管理に使えるか？

「Intuneで資産管理できますか？」という質問がよくあります。

私の回答はNoです。

なぜかと言うと、Intuneには使っていない端末を登録しておけないからです。

資産管理では、当然予備の端末や使用していない端末も登録しておかなければいけませんよね。

Intuneでは、端末をIntune登録するのにユーザーとライセンスが必要になります。
登録時に「登録者」と「プライマリユーザー」というパラメーターが設定され、特定のM365ユーザーと紐づいた形で管理されることになります。

そのため、現時点で利用者がいない端末を登録しておくことが仕組み上できないのです。

細かい話をするとIntuneデバイスライセンスを利用して登録する方法もあるにはあるのですが、通常の利用方法と異なり、管理が煩雑になるのでおすすめしません。

また、インベントリ収集機能も必要最低限で、反映もあまりリアルタイムではありません。（例えば、インストールされているアプリの一覧は7日に1回しか更新されない）

以上の理由から、資産管理は別の方法を用意された方がよろしいと思います。