Contents
導入前提条件と正しいライセンス要件
Intune を利用するにはテナントの基礎構築と、適切なサブスクリプションが必須です。本節では、Microsoft Entra ID(旧 Azure AD)テナントの設定ポイントと、実際に BYOD 管理で使用できるライセンス体系を整理します。
Microsoft Entra ID テナントの準備
概要:Entra ID はユーザー認証・デバイス登録の中心です。正しく構成すれば Intune との連携は即座に有効になります。
- テナント作成とドメイン所有権の確認
- Microsoft Entra ポータルで新規テナントを作成し、組織独自ドメインを追加・所有権検証します。
- 外部ユーザー(BYOD ユーザー)向け自己登録設定
- 「ユーザー」→「外部ユーザー」で 自動承認 を有効にし、社内メールアドレス以外のユーザーでも Azure AD にサインインできるようにします。
- デバイス登録ポリシーの作成
- 「デバイス」→「デバイスタイプ」から Azure AD 登録(AAD Join) のみ許可し、Hybrid Azure AD Join は無効化します。
ポイント:Entra ID が正しく構成されていれば、Intune 管理センターでのデバイス登録フローはスムーズに開始できます。
Intune ライセンスの種類と取得方法(キーワード:ライセンス要件)
概要:Intune は単体でも利用可能ですが、企業向けの統合管理機能をフル活用するには以下のサブスクリプションが必要です。
| サブスクリプション | 含まれる Intune 機能 |
|---|---|
| Microsoft 365 E5 | 完全版 Intune + Azure AD Premium P2 + 高度なセキュリティ機能 |
| Microsoft 365 E3 | 基本的な Intune 機能(デバイス管理、ポリシー配布) |
| Enterprise Mobility + Security (EMS) E5/E3 | Intune + Azure AD Premium(E3 は P1、E5 は P2) |
| Microsoft 365 Business Premium | 中小企業向けに Intune と Azure AD Premium P1 がセット |
重要:Intune のフル機能は EMS E3/E5 や Microsoft 365 E3/E5、Business Premium でも利用可能です。E5 が必須という誤解は避けましょう。
ライセンス取得手順
- Microsoft 365 管理センター にサインインし、左メニューの「課金」→「ライセンス」から目的のプランを選択します。
- 必要なユーザー数分だけ購入し、購入完了後に対象ユーザーへ Intune ライセンスが有効 かどうかを確認します(Microsoft Learn の取得ガイド)。
- 自動更新設定をオンにして、ライセンス切れによる管理停止リスクを防止します。
まとめ:組織の規模と要件に合わせて E3 系または Business Premium を選択すれば、BYOD 管理に必要な Intune 機能が確実に利用できます。
Intune 管理センターでの初期設定(キーワード:Intune BYOD 手順)
Intune コンソールで MDM 権限とデバイス登録制限を適切に設定することで、組織全体のセキュリティ基盤が固まります。ここでは RBAC の基本構成と、OS バージョン別の登録ポリシー作成手順を解説します。
MDM 権限とロールベースアクセス(RBAC)の構成
概要:管理者に最小権限だけ付与すれば、誤設定や情報漏洩リスクを抑えられます。
- カスタムロールの作成
- Intune 管理センター → 「ロール」→「カスタムロール」→「+ 追加」。
- 権限セットの選択
- 「デバイス登録」「ポリシー作成」「レポート閲覧」など、担当者が実行すべき操作だけにチェックを入れます。
- ロールの割り当て
- 対象ユーザー(例:ヘルプデスクチーム)へロールを紐付け、割り当て完了後は管理画面で権限が反映されていることを確認します。
ポイント:RBAC により権限の過剰付与を防止し、監査ログも簡潔に保てます。
デバイス登録制限ポリシーの設定(キーワード:デバイス登録制限)
概要:OS バージョンや端末台数で登録条件を絞ることで、未対応機種からのアクセスを事前にブロックします。
- ポリシー作成画面へ移動
- 「デバイス構成」→「登録制限」→「+ 追加」。
- OS バージョン要件
- iOS ≥ 15.0、Android ≥ 12 を必須に設定。
- 同一ユーザーあたりの端末上限
- iOS デバイス:最大 3 台
- Android デバイス:最大 5 台
- 適用範囲の確認
- 作成したポリシーを「全社」または特定グループに割り当て、保存後は Intune のデバイス登録レポートで適用状況をモニタリングします。
まとめ:OS と台数の制限を明確化するだけで、非対応端末からのリスクが大幅に低減します。
ユーザー向けセルフサービス登録フローと社内周知方法(キーワード:Intune BYOD 手順)
エンドユーザーが自ら Company Portal からデバイスを登録できるように手順を文書化し、効果的に周知することが導入成功の鍵です。
標準セルフサービス登録フロー
- Company Portal アプリの配布(App Store / Google Play)
- 組織アカウントでサインイン → 「デバイスの管理に同意」
- MDM プロファイルのインストール(iOS は設定画面、Android は Work Profile 作成)
結論:この3ステップを明文化し、社内ポータルやメールで周知すれば、登録率は 90 % 超に向上します。
社内周知のベストプラクティス
| 手段 | 内容例 |
|---|---|
| 案内メール | 件名「【必読】Intune BYOD 登録手順」・本文に QR コード付き Company Portal ダウンロードリンクと簡易手順を掲載 |
| 社内 Wiki/FAQ | 「Work Profile が作れない」等の質問を 5 項目程度まとめ、検索しやすい構造で公開 |
| 短尺動画 | 3 分以内のデモ動画を Teams チャンネルに固定し、手順を映像で説明 |
| リマインダー | 登録未完了ユーザーへ月次で自動通知(Power Automate) |
まとめ:統一したテンプレートと視覚的教材で、利用者は自己解決できる環境が整います。
iOS デバイスの BYOD 登録手順(キーワード:Intune BYOD 手順)
iPhone / iPad の管理は Company Portal アプリ が中心です。必要に応じて Apple Business Manager(ABM)連携も併用できます。
Company Portal アプリによる登録プロセス
- App Store で Intune Company Portal をインストール
- 組織の Microsoft Entra ID アカウントでサインイン
- 「デバイスの管理に同意」画面で 「許可」 → iOS 設定 > プロファイルのダウンロードを承認
- MDM プロファイルが自動的にインストールされ、Intune ポータル上で 「準拠」 と表示
ポイント:ユーザーは数回タップするだけで管理対象になり、その後はポリシーが自動適用されます。
Apple Business Manager 連携(オプション)
- ABM にサインインし「MDM サーバー」→「Intune」を追加、Intune 管理センターから取得した サーバートークン を入力
- 購入済みデバイスを ABM の「デバイス割り当て」画面で作成した MDM サーバーに紐付ける
- Intune 側で Apple enrollment profile を作成し、ABM とマッピング
まとめ:ABM 連携は大量導入時の手間を大幅削減し、初回起動時に自動 enrol が完了します。
Android デバイスの BYOD 登録手順(キーワード:Intune BYOD 手順)
Android は Company Portal と Android Enterprise Work Profile の組み合わせで個人データと企業データを分離管理します。
Company Portal アプリによる登録プロセス
- Google Play から Intune Company Portal をインストール
- 組織の Microsoft Entra ID でサインイン
- 「このデバイスを管理しますか?」に 「はい」 と答えて Work Profile の作成を許可
- 「仕事用」プロファイルが生成され、Intune コンソール上で 「準拠」 が表示
ポイント:ユーザーは数タップで業務領域が確立し、個人アプリとは明確に分離されます。
Android Enterprise Work Profile の構成と適用方法
| 項目 | 推奨設定 |
|---|---|
| パスコード | 6 桁以上・アルファベット混在必須 |
| デバイス暗号化 | ハードウェア暗号化が有効か確認 |
| OS バージョン | Android ≥ 12 を必須 |
| アプリ配布 | Intune の「会社のアプリ」から Work Profile に自動プッシュ |
- リモートワイプ:Work Profile 単位で遠隔消去が可能。個人データは保持されます。
まとめ:Work Profile の導入により、企業情報保護とユーザーエクスペリエンスの両立が実現します。
コンプライアンスポリシー・条件付きアクセス・運用監視(キーワード:Intune BYOD 手順)
BYOD 環境ではデバイスコンプライアンスと Zero‑Trust の組み合わせが最重要です。以下に推奨設定例と運用上のポイントを示します。
デバイスコンプライアンスポリシー例(パスコード・暗号化・OS バージョン)
- パスコード:6 桁以上、アルファベット混在必須
- デバイス暗号化:iOS は自動、有効化済みか確認。Android は「暗号化が有効」チェックを追加
- OS バージョン:iOS ≥ 15.0、Android ≥ 12
これらの要件に合致しないデバイスは コンプライアンス違反 とみなし、条件付きアクセスでブロックします。
条件付きアクセスポリシーとコンプライアンスの連携
- Azure AD ポータル → 「条件付きアクセス」→「+ 新しいポリシー」
- 対象ユーザー:全社 BYOD ユーザー、対象アプリ:Microsoft 365 と社内 VPN
- 条件に 「デバイスプラットフォーム = iOS/Android」 を設定し、「アクセス許可」 に「コンプライアンスが必要」をチェック
- ポリシーを有効化し、Intune のコンプライアンスレポートで適用状況を定期的に確認
ポイント:条件付きアクセスはリアルタイムでデバイスのコンプライアンス状態を評価し、不正端末からのアクセスを自動防止します。
データ保護・リモートワイプ・アプリ保護ポリシー(APP)
- App protection policy:企業データのコピー&ペースト禁止、外部へのデータ転送制限
- リモートワイプ:Intune コンソールから対象端末 → 「リモートワイプ」→「Work Profile のみ消去」または「全体消去」を選択
- 暗号化確認:iOS/Android はハードウェアベースの暗号化が標準で有効かつ、BitLocker 相当の保護が適用されていることをレポートで確認
まとめ:領域分離と選択的ワイプにより、個人情報保護と企業データ防御を同時に実現できます。
監視・レポート活用とトラブルシューティング
- デバイスコンプライアンス ダッシュボード:非準拠率や最新エラーコードを月次でレビュー
- エラーコードレポート(例:0x801c038a)を抽出し、ネットワークプロキシ・証明書更新の自動化スクリプト(PowerShell)で対処
- 再同期リマインダー:Power Automate で「デバイス再同期」メールを未準拠ユーザーへ定期送信
ポイント:ダッシュボードとエラーログの組み合わせで、問題発生を早期に検知し迅速な対策が可能です。
まとめ(キーワード:Intune BYOD 手順)
- テナント構築は Microsoft Entra ID の正しい設定から始める
- ライセンス要件は EMS E3/E5、Microsoft 365 E3/E5、Business Premium が利用可能で、必ずしも E5 は必要ない
- RBAC と登録制限を適用すれば権限過剰付与と非対応端末のリスクを低減できる
- セルフサービス登録フローと社内周知(メール・FAQ・動画)でユーザーエンゲージメントを向上させる
- iOS / Android の具体的手順は Company Portal アプリだけで完結し、ABM や Android Enterprise 連携は大規模導入時の自動化に有効
本ガイドを参考に、組織の BYOD 戦略を迅速かつ安全に実装してください。