Contents
1. 移行計画の全体像と目的設定
Intune への移行は「何を達成したいか」を最初に明確化しないと、スコープが拡大してプロジェクトが停滞しやすくなります。本セクションでは、ビジネス要件の整理手順と、Intune が提供する代表的な機能(Endpoint analytics、Autopilot など)を活用した KPI 設計のポイントを解説します。
1.1 ビジネス要件と成功指標の紐付け
ビジネス側が求める成果(例:セキュリティ向上、管理工数削減、ユーザー体験改善)に対して、測定可能な指標を設定します。指標は「定量化しやすく」「ステークホルダー間で合意できる」ことが重要です。
| ビジネス要件 | 推奨 KPI(成功指標) | Intune 機能活用例 |
|---|---|---|
| セキュリティ強化 | デバイスコンプライアンス率 ≥ 95% | Endpoint analytics の「推奨ポリシー」レポートで未適合端末を抽出 |
| 管理工数削減 | 月間管理タスク時間 30% 削減 | 自動プロファイル配布+Intune Analytics によるタスク可視化 |
| ユーザー体験向上(BYOD) | 利用者満足度 ≥ 4.5/5 | Autopilot + Azure AD Join でシームレスなオンボーディング |
1.2 目的・KPI を文書化する手順
- ステークホルダーインタビュー:経営層、セキュリティ部門、ヘルプデスクの期待をヒアリング。
- 要件シート作成:上表形式で「要件」「KPI」「測定方法」をまとめる。
- 承認フロー:プロジェクト憲章に添付し、経営層のサインオフを取得。
ポイント:目的が曖昧だと投資効果の算出が困難になるため、KPI は必ず数値で示すこと。
2. デバイス・OS インベントリ取得手順
正確なインベントリが無ければ、移行対象範囲やライセンス数を見積もることはできません。本章では、オンプレミス Windows と Azure AD 登録端末の両方に対応した取得方法を解説します。
2.1 PowerShell によるローカルスキャン
PowerShell を利用すれば、社内ネットワーク上の Windows デバイスから必要情報を一括で抽出できます。以下は推奨スクリプト例です。
|
1 2 3 4 5 6 7 8 9 10 |
# 管理者権限で実行すること Get-ComputerInfo | Select-Object ` CsName, OsName, OSVersion, WindowsInstallationType, @{Name='Owner';Expression={(Get-CimInstance -ClassName Win32_ComputerSystem).UserName}} | Export-Csv -Path "C:\Temp\DeviceInventory.csv" -NoTypeInformation |
取得項目:デバイス名、OS 名・バージョン、インストールタイプ(OEM/自前)、所有者情報。
出力 CSV は公式テンプレートの「デバイス一覧」シートに直接貼り付けられます。
2.2 Microsoft Graph API によるクラウド集計
Azure AD に登録済みの端末は Graph API で一括取得可能です。2024 年版 Microsoft.Graph.Intune SDK を使用したサンプルを示します。
|
1 2 3 4 5 6 7 8 9 10 11 |
# SDK のインストールと接続 Install-Module -Name Microsoft.Graph.Intune -Scope CurrentUser -Force Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All" # 端末情報取得 $devices = Get-MgDeviceManagementManagedDevice -All | Select-Object DeviceName, OperatingSystem, OsVersion, EnrollmentType, OwnerType # CSV 出力 $devices | Export-Csv -Path "$env:USERPROFILE\Downloads\IntuneInventory.csv" -NoTypeInformation |
取得項目:デバイス名、OS 系統・バージョン、登録方式(Autopilot/手動)、所有者種別。
同様に公式テンプレートへインポートできます。
2.3 インベントリ統合のベストプラクティス
| 手法 | カバー範囲 | 推奨統合方法 |
|---|---|---|
| PowerShell(オンプレ) | 社内ネットワーク上の Windows デバイス全般 | CSV を「ローカルデバイス」シートに貼り付け |
| Graph API(クラウド) | Azure AD 登録端末、Intune 管理下デバイス | CSV を「Azure 登録デバイス」シートへ統合 |
| 手動入力 | 非 Windows デバイス(iOS/Android) | 端末情報を Excel に手入力し、同一フォーマットで保存 |
ポイント:両方の出力形式を同一ヘッダーに揃えることで、テンプレートへのインポート作業がシームレスになります。
3. 移行パス比較と選定基準
組織の現状(オンプレ管理資産・ライセンス保有状況)によって最適な移行シナリオは変わります。本章では代表的な 4 パスを比較し、選択時に確認すべきチェック項目を整理しました。
3.1 各パスの特徴と前提条件
| 移行パス | 主な特徴 | 必要な前提条件 | 推奨対象 |
|---|---|---|---|
| Partner MDM → Intune | ベンダー提供エクスポートをインポートし、短期間で統合 | パートナーが CSV/JSON エクスポートに対応 Intune ライセンス+ Azure AD Premium 必須 |
既存ベンダー MDM を使用中で迅速な統合を目指す企業 |
| Co‑management (ConfigMgr + Intune) | SCCM と併用し段階的に移行。PC は SCCM、モバイルは Intune に分散 | ConfigMgr 2019 以降+ Cloud Management Gateway Azure AD Join が可能な端末 |
大規模 Windows デスクトップを保有し、オンプレ資産が残る組織 |
| オンプレ GPO → Intune | グループポリシー設定を CSP(Configuration Service Provider)へ変換 | Azure AD Join または Hybrid Azure AD Join が必須 Intune のポリシーマッピング表参照 |
既存 GPO が多数あり、クラウド一元管理に移行したい企業 |
| Office 365 DDM → Intune | 従来の Office 365 デバイス管理から直接 Intune に切替 | Microsoft 365 E3/E5(Intune 含む)または別途 Intune ライセンス Azure AD 登録が必要 |
M365 を既に導入している中小規模組織 |
3.2 選定基準チェックリスト
- インフラの現状:SCCM・GPO の有無、パートナー MDM ベンダー。
- 保有ライセンス:Azure AD Premium、Intune ライセンスが既に含まれるか。
- デバイス登録方式:Azure AD Join が可能か、Hybrid 登録は必要か。
- 移行スピードとリスク許容度:一括切替 vs 段階的導入のどちらが適しているか。
選択の指針:上記チェック項目で「はい」が多いパスを優先し、残りはリスク・コスト観点で比較検討します。
4. 公式『Planning guide』テンプレートの取得とカスタマイズ
Microsoft が提供する「Intune 移行計画ガイド」テンプレートは、Excel と Word の 2 形式でダウンロードできます。本章では入手方法、主要シート構成、日本語ラベルへの置き換え手順を解説します。
4.1 ダウンロード場所とファイル形式
| ファイル | 種類 | 主な用途 |
|---|---|---|
Intune_Migration_Planning_Guide.xlsx |
Excel | デバイスインベントリ、タイムライン、リスク表の管理 |
Intune_Migration_Planning_Guide.docx |
Word | プロジェクト概要・ステークホルダー合意文書 |
取得手順:
- Microsoft Learn の [Intune 移行計画ガイド – Planning guide] ページへアクセス。
- ページ下部の 「テンプレートをダウンロード」 ボタンから両ファイルを保存。
4.2 テンプレート構成要素(Excel)概要
| シート | 内容 |
|---|---|
| 1. プロジェクト概要 | 目的、スコープ、ステークホルダー一覧 |
| 2. 現行環境インベントリ | デバイス情報の CSV インポート用シート |
| 3. 移行パス選定マトリクス | 前章で比較した表を埋め込む欄 |
| 4. ライセンス・前提条件 | 必要ライセンス、Azure AD 登録方式 |
| 5. タイムライン & マイルストーン | フェーズ別開始日/完了日、担当者 |
| 6. リスクと対策表 | 想定リスク、緩和策、責任部門 |
| 7. コミュニケーション計画 | 社内告知テンプレート、FAQ 草案 |
4.3 日本語ラベルへの置き換え手順(Excel)
- シート保護の解除:
表示 > シート保護の解除。 - ヘッダー行を編集:例
DeviceName → デバイス名、OwnerType → 所有者種別のように日本語に変更。 - 新規列の追加:右端の空白列に見出しを入力し、テーブル機能(Ctrl+T)で範囲自動拡張。
- 保存:元ファイルは上書きせず、
Intune_Migration_Planning_Guide_JP.xlsxと別名保存。
ポイント:ヘッダーだけ日本語化すれば、以降のデータ入力やレポート作成がスムーズになります。
5. 段階的移行計画の策定・実装フロー
本章では、上記テンプレートを活用した「目的 → スコープ → タイムライン → リスク管理」までの一貫設計手順と、主要技術(Azure AD Join、Autopilot、BYOD MDM)ごとの実装ポイントを示します。
5.1 フェーズ別タスクと目安期間
| フェーズ | 主なタスク | 推奨期間 | 担当部門 |
|---|---|---|---|
| 0. 計画準備 | ビジネス要件定義、KPI 設定、テンプレート導入 | 1‑2 週間 | ITPM・経営層 |
| 1. インベントリ取得 | PowerShell / Graph API によるデバイス集計、Excel へインポート | 1 週間 | システム管理チーム |
| 2. 移行パス決定 | マトリクス評価、ライセンス調達、Azure AD 設定 | 1‑2 週間 | セキュリティ・財務 |
| 3. パイロット実装 | 選択デバイス 5% に Azure AD Join / Autopilot 導入、ポリシー適用 | 2‑3 週間 | デスクトップサポート |
| 4. 評価 & 改善 | KPI(コンプライアンス率・エラーログ)測定、フィードバック反映 | 1 週間 | QA・運用 |
| 5. 全社展開 | 段階的ロールアウト、内部告知メール配信、FAQ 公開 | 4‑6 週間 | コミュニケーション部 |
5.2 デバイス登録方式別実装ポイント
Azure AD Join(Windows 10/11 Enterprise)
- Azure AD Connect にて Hybrid Azure AD Join を有効化。
- Intune ポータル → デバイス登録 → 自動登録ポリシーを作成し、対象グループに適用。
- GPO
Computer Configuration > Administrative Templates > Windows Components > Device Registrationの 「Register domain‑joined computers as devices」 を有効化。
Autopilot
- デバイスメーカーからハードウェア ID(ハッシュ)を取得し、Intune の 「デバイス」>「Windows Autopilot デバイス」 にインポート。
- プロファイル作成時に 「ユーザー主導登録」 と 「自動的に Azure AD Join」 を選択。
- エンドユーザーは OOBE でメールアドレスを入力するだけでプロビジョニング完了。
BYOD MDM(iOS / Android)
- Intune コンソール → デバイス登録 → 各プラットフォームの MDM 登録用 QR コード を生成。
- エンドユーザーは社内ポータルまたはメールから QR コードを読み取り、プロファイルをインストール。
- 必要に応じて Conditional Access ポリシーで Azure AD 認証済み端末のみアクセス許可。
5.3 ポリシー・構成・アプリ移行のベストプラクティス
| 移行対象 | 推奨手順 | キーポイント |
|---|---|---|
| コンプライアンスポリシー | 既存 GPO → CSP マッピング表を参照し、Intune の「コンプライアンスポリシー」へ再作成。 | 複数 OS バージョンが混在する場合は「対象 OS バージョン」を絞り込む |
| 構成プロファイル | Intune > デバイス構成 → Windows 10+ テンプレートを使用し、PowerShell スクリプトやカスタム CSP は JSON インポートで適用。 | カスタム設定は「Device Configuration」→「Custom OMA‑URI」で管理 |
| アプリ配布 | Microsoft Store for Business、LOB アプリを Intune の アプリ から追加し、対象 Azure AD グループへ割り当て。 | 自動更新を有効にすればパッチ適用コストが削減 |
| Endpoint analytics | 移行完了後すぐに「デバイス健康状態」レポートを有効化し、KPI と照合。 | 低スコア端末は自動的に再展開タスクへ回す仕組みを設定 |
5.4 パイロット評価基準
| 評価項目 | 合格ライン |
|---|---|
| コンパイル率(Compliance) | ≥ 90% |
| エラー率(登録失敗・ポリシー適用エラー) | ≤ 5% |
| ユーザー満足度(Forms 5 項目平均) | ≥ 4.0/5 |
評価方法:Intune の「診断ログ」→「デバイス登録失敗」イベントを Azure Monitor に転送し、Power BI ダッシュボードで可視化。
6. 移行後の監視・レポーティング
移行が完了したら、継続的なモニタリング体制を整えることが成功の鍵です。本章では標準レポートと Power BI ダッシュボード活用例、アラート設定手順を紹介します。
6.1 標準レポートの自動生成
- Intune ポータル → レポート → デバイスコンプライアンス を選択。
- 「スケジュール」ボタンで月次 PDF/CSV 出力を設定し、指定メールアドレスへ配信。
6.2 Power BI ダッシュボードの導入手順
- Microsoft が提供する Intune Analytics Power BI テンプレート(GitHub)をダウンロード。
- Power BI Desktop でテンプレートファイルを開き、
IntuneAnalyticsデータセットに接続(Azure AD のアプリ登録が必要)。 - 必要な KPI(コンプライアンス率、アップデート適用率、エラーログ件数)をビジュアル化し、組織全体の健康状態を一目で把握。
6.3 アラート設定と通知フロー
| 条件 | Azure Monitor アラート種別 | 通知先 |
|---|---|---|
| デバイスコンプライアンス率が 90% 未満 | メトリックアラート(カスタムクエリ) | Teams チャネル / Slack |
| 登録失敗イベントが 10 件/時間 超過 | ログ検索アラート | メール + ServiceNow インシデント |
| Endpoint analytics のスコア低下 | スコアベースのアラート | ITSM ツール |
実装ポイント:アラートは「ノイズが多くならない」よう閾値を慎重に設定し、担当者ごとに通知チャネルを分ける。
7. 全体まとめと次のステップ
- 目的・KPI を明確化 → ビジネス要件と Intune 機能を紐付けた計画書を作成。
- インベントリ取得は PowerShell と Graph API の併用で網羅的に実施し、公式テンプレートへ統合。
- 移行パスの選定はインフラ・ライセンス・リスク許容度の 4 つのチェック項目で比較検討。
- 公式 Planning guide を日本語化し、プロジェクト全体のロードマップとリスク表を埋めるだけで実務に即した計画が完成。
- 段階的ロールアウトはパイロット → 評価 → 全社展開というサイクルで進め、KPI に基づく改善を繰り返す。
- 運用フェーズでは Intune 標準レポートと Power BI ダッシュボードで継続的に可視化し、アラートで早期対応を実現。
次のアクション:本ガイドの「計画準備」フェーズを開始し、ステークホルダー承認を得たらインベントリ取得スクリプトを展開してください。以降はテンプレートに沿って情報を入力し、移行パス選定マトリクスを完成させることが最短のスタートアップになります。