Contents
Intune の基本概念とデバイス管理フロー全体像
Intune は Microsoft 365 環境に組み込まれたクラウドベースの MDM/MAM ソリューションです。テナント単位で ユーザー と デバイス を一元管理でき、企業のセキュリティポリシーやアプリ配布を自動化します。本節では、Intune における典型的なデバイス登録からコンプライアンス評価までの流れと、各フェーズで重要になるポイントを解説します。
デバイス管理フローの概要
- デバイス登録
- Azure AD 参加(Windows)または Apple Business Manager・Android Enterprise などの自動登録機能を利用。
- プロファイル割り当て
- 登録されたデバイスに対して、設定カタログやテンプレートベースの構成プロファイルが自動的に適用されます。
- コンプライアンス評価・レポーティング
- Intune が定期的にポリシー遵守状況をチェックし、非準拠端末には条件付きアクセスポリシーやブロックが適用されます。
ポイント:登録 → プロファイル割り当て → コンプライアンス評価 の 3 ステップで管理サイクルが完結します。各ステップを正しく設定すれば、継続的なセキュリティ基準の維持が可能です。
設定カタログでのポリシー作成と検索・フィルター活用手順
設定カタログは「項目単位で自由に組み合わせられる」構成プロファイルを作成できる Intune のコア機能です。本節では、実際の画面操作と効率的な検索・絞り込みテクニックを紹介します。
アクセス手順
Intune 管理センター → デバイス → 構成プロファイル → 作成 → 設定カタログ の順に選択します。画面左上の検索バーと左ペインのフィルターを併用すると、目的の項目へ迅速にたどり着けます。
キーワード検索のコツ
| キーワード例 | 表示される主な設定 |
|---|---|
BitLocker |
暗号化方式、回復キー保存先、起動時保護など |
パスワード |
最小文字数、複雑度要件、有効期限、履歴保持 |
検索結果は入力ごとにリアルタイムで絞り込まれ、膨大な項目リストから目的の設定だけを抽出できます。
フィルター活用例
左側パネルの プラットフォーム と プロファイルタイプ にチェックを入れることで、不要な OS やカテゴリが非表示になります。たとえば次の組み合わせは Windows 10/11 の BitLocker 設定だけに絞ります。
| フィルター項目 | 推奨設定 |
|---|---|
| プラットフォーム | Windows 10/11 |
| プロファイルタイプ | デバイス構成 |
| カテゴリ | セキュリティ → 暗号化 |
実務的なヒント:検索とフィルターは必ず同時に使用することで、数十件の候補から 1〜2 件にまで絞り込めます。手入力ミスや見落としを防ぎ、作業時間を大幅に短縮できます。
Copilot によるポリシー作成支援(現行機能)
2024 年にプレビューされた Intune Copilot は、自然言語で構成プロファイルの雛形を生成できる AI アシスタントです。2026 年現在でも正式に UI に常駐する形は確認されていませんが、管理センター内の「ヘルプ」や「アクション」メニューから呼び出すことができます。
基本的な利用フロー
- 管理センター上部の ヘルプ アイコン → Copilot を選択。
- 「設定カタログに BitLocker ポリシーを作成してください」のように自然言語で指示を入力。
- Copilot が提案する項目一覧が表示されるので、必要なものだけを選択し 保存。
プロンプト例と生成結果(概略)
| プロンプト | 生成された設定の概要 |
|---|---|
BitLocker を必須化し、暗号化方式は XTS‑AES 256 ビットにしてください |
暗号化方式:XTS‑AES 256 ビット、適用対象:Windows 10/11、回復キー自動バックアップ(Azure AD) |
パスワードは最低 12 文字、複雑度を高く設定し、90 日ごとに変更させてください |
最小長 12 文字、複雑度 大文字・小文字・数字・記号必須、有効期限 90 日 |
生成後は必ず Microsoft Docs の Copilot ガイド(https://learn.microsoft.com/ja-jp/microsoft-365/copilot/intune) を参照し、項目の微調整や組織固有要件への適合を確認してください。
留意点:AI が提示する設定はベストプラクティスに基づくものですが、実際にデプロイする前にテスト環境で動作検証を行うことが推奨されます。
最新コンプライアンス ポリシー(2026 年版)の主要設定項目
Microsoft が毎年発表する OS ビルドやセキュリティ要件に合わせ、Intune のコンプライアンスポリシーも随時拡張されています。2026 年現在で特に重要視される項目は以下の通りです。
Windows 10/11 向け必須設定
| 設定項目 | 推奨値 / 条件 |
|---|---|
| OS ビルド番号 | 22631(22H2)以上を必須 |
| Secure Boot | 有効化が必須 |
| デバイス暗号化 | BitLocker が有効、回復キーは Azure AD に自動バックアップ |
| TPM バージョン | TPM 2.0 以上 |
パスワード・認証に関する詳細
| 設定項目 | 推奨値 |
|---|---|
| 最小文字数 | 12 文字 |
| 複雑度要件 | 大文字・小文字・数字・記号のすべて必須 |
| 有効期限 | 90 日 毎に変更要求 |
| パスワード履歴保持 | 過去 5 回分 を再使用不可 |
これらは Intune 管理センター > デバイス > コンプライアンスポリシー から作成・適用できます。設定画面のヘルプリンク(例:https://learn.microsoft.com/ja-jp/intune/protect/compliance-policy-create-windows)も併せて参照してください。
ポイント:最新ビルドや Secure Boot の要件は攻撃対象を大幅に減少させ、組織全体のリスクプロファイルを改善します。ポリシー適用後はコンプライアンスレポートで実装状況を定期的に確認しましょう。
構成プロファイルの作成・割り当てとグループ管理手順
構成プロファイルは「設定カタログ」だけでなく、テンプレートやスクリプトベースでも作成できます。本節では、実務で頻繁に利用される デバイス グループへの一括割り当て 手順と、除外グループ活用のベストプラクティスを紹介します。
プロファイル作成から割り当てまでの流れ
- プロファイル作成
- Intune 管理センター → デバイス → 構成プロファイル → 作成 → 設定カタログ(またはテンプレート)を選択。
- プラットフォームと項目の設定
- Windows 10/11 を対象にし、必要な BitLocker・パスワード項目を追加。
- 割り当て画面へ遷移
- プロファイル概要ページの 「割り当て」 ボタンをクリック。
| 操作 | 内容 |
|---|---|
| グループ選択 | 「+ グループの選択」から対象ユーザー/デバイスグループを追加 |
| 除外グループ設定 | テスト端末や管理者端末は 除外 に登録(動的メンバーシップ推奨) |
| 配信オプション | 「即時配信」または「スケジュール配信」を選択 |
動的メンバーシップの活用例
|
1 2 3 4 5 6 7 8 9 10 |
# 例:OS バージョンが 22631 未満のデバイスを自動で除外グループに追加 New-DeviceManagementScript -Name "ExcludeLegacyBuilds" ` -Description "Add devices with build <22631 to Exclude group" ` -RunSchedule "EveryDay" ` -ScriptContent @" if ((Get-WmiObject -Class Win32_OperatingSystem).Version -lt '10.0.22631') { Add-AzureADGroupMember -ObjectId <ExcludeGroupId> -RefObjectId $_.DeviceId } "@ |
ベストプラクティス:除外対象は「テスト環境」「管理者端末」だけに限定し、実稼働デバイスが意図せず除外されないように動的条件を明確化します。
適用後の確認・レポート活用、トラブルシューティング & ベストプラクティス
プロファイル適用後は、コンプライアンス状態やデバイス同期状況を定期的にモニタリングし、問題があれば速やかに対処することが重要です。
コンプライアンス状態の確認手順
- Intune 管理センター → デバイス → コンプライアンス
- デバイス一覧で「準拠」「非準拠」「未評価」のカラムを確認。
- 非準拠端末はクリックして詳細レポートを開き、違反項目と推奨対策を把握。
よくあるトラブルと対応策
| トラブル | 主な原因 | 推奨対処 |
|---|---|---|
| プロファイルが未適用 | スコープ外/同期エラー | デバイス側で 設定 > アカウント > 仕事または学校用アカウント の再同期を実行し、Intune の割り当て範囲を再確認 |
| 登録エラー(0x8018002A 等) | Azure AD 加入失敗、ネットワーク制限 | デバイスのインターネット接続と Azure AD 参加状態をチェック。必要に応じて管理者が手動で再登録 |
| Copilot が期待通りの項目を生成しない | プロンプトが抽象的 | 「暗号化方式 XTS‑AES 256 ビット」や「パスワード最小長 12 文字」など具体的な数値・キーワードを含める |
ベストプラクティスまとめ
- 階層的ポリシー設計:組織単位 → 部門 → 個別端末 の順に上位が下位を上書きしないように設計。
- 優先順位付け:セキュリティ関連は最上位グループで強化し、例外は除外グループで管理。
- 定期レビュー:四半期ごとにポリシー一覧をエクスポートし、OS アップデートや新たな脅威情報に合わせて更新。
- 自動リメディエーションの活用:非準拠端末に対して BitLocker 有効化やパスワード変更などの自動修復アクションを設定すると、管理負荷が大幅に軽減します。
最終的なチェックポイント
1. デバイスは Azure AD に正しく参加し、Intune に登録されているか。
2. 設定カタログで作成したプロファイルが対象グループへ割り当てられているか。
3. コンプライアンスレポートで全端末が「準拠」もしくは「自動リメディエーション中」と表示されることを確認。
これらの手順とポイントを実践すれば、Intune と設定カタログ、そして Copilot の機能を最大限に活用しつつ、最新のコンプライアンス基準を安定して維持できます。