Microsoft Intuneとは？IntuneとAzure Active Directoryでデバイスを管理しセキュリティを高めよう

Microsoft Intuneとは何か

Microsoft Intuneとは、どのようなツールなのでしょうか。まずはIntuneについて解説します。

デバイスを管理するためのツール

Microsoft Intuneは、主にPCやスマホなどデバイスを管理するためのツールです。汎用OSであるWindowsや一般業務アプリであるOfficeをリリースしているMicrosoft社が手掛けています。

Intune導入の背景

何故、今Intuneの導入が必要なのでしょうか。Intune導入の背景を見ていきましょう。

業務が柔軟的になった

一つは、以前に比べて業務が柔軟的になったことが挙げられます。ITテクノロジーを駆使することで社内だけでなく社外からでもモバイル端末を通し、社内のシステムにアクセスができるようになりました。

それにより利便性や生産性は大きく向上しますが、反面セキュリティリスクを抱えることにもなります。そこでIntuneによりシステムにアクセスするモバイル端末を適切に管理し、セキュリティを担保するわけです。

テレワークが一般的になった

もう一つは、テレワークが一般的になったことが挙げられます。従来のワークスタイルは決まった時間にオフィスに出社し、業務時間が終了したら退勤するというものでした。

そういったオフィスメインの業務スタイルにもメリットがありますが、通勤による疲労や災害リスクなどのデメリットも生じます。テレワークに移行すればそういったデメリットは避けられますが、今度は「さまざまな環境から社内のシステムにアクセスが試みられる」といった状況が発生します。

社内ネットワークの内部に全ての端末があれば、さまざまな面で管理がしやすくなります。しかし、テレワークのように外部からのアクセスがメインになれば、各デバイスがポリシーに準拠しているかどうかを判別する必要が生じます。

Intuneによりモバイル端末を管理することで、その辺りを見極めることができます。

Azure Active Directoryと条件付きアクセス

Azure Active Directoryは、クラウドベースのユーザやアクセス管理ためのサービスです。

Azure Active Directoryは、Intuneと同じくMicrosoft社が手掛けています。

Azure Active Directory には、様々な条件でアプリケーションへのアクセスを制御する条件付きアクセスという機能がります。

条件はIPアドレス、所属するグループ、ユーザー、デバイスなど複数の条件を組み合わせることができ、条件に満たないユーザからのクラウドに対するアクセスをブロックすることができます。

Azure Active Directoryはクラウドのアクセス管理するためのツール

Azure Active DirectoryとIntuneの大きな違いは、Azure Active Directoryが主にクラウドのアクセス管理するためのツールである点です。

対して、Intuneはデバイスを管理するためのツールです。Intuneで端末を社内のポリシーに準拠させることができます。

現代ではクラウド環境で業務が完結することは少ないため、条件付きアクセスの条件にポリシーに準拠したデバイスのみとすることで、外からのクラウドのアクセスに対するセキュリティを強固にすることができます。

Azure ADが名称を変更Microsoft Entra IDへ

Microsoft Entra製品との連携をしやすくするために、2023年10月からAzure ADの名称がMicrosoft Entra IDに変更しています。

セキュリティで保護された全てのアクセスエクスペリエンスを、ユーザーにとってわかりやすくシンプルにするというMicrosoftの取り組みの一つとしての変更です。

現在Azure ADのサービスを使用している場合は、サービスが中断されることなく、全ての機能を引き続き使用できます。使用していくにあたり、ユーザーによる新たな設定は必要ありません。

IntuneのMDM（モバイルデバイス管理）とMAM（モバイルアプリケーション管理）

Microsoft Intuneは、MDM（モバイルデバイス管理）とMAM（モバイルアプリケーション管理）を使用し組織のデータを保護する、クラウドベースの管理サービスです。

IntuneはPC、スマートフォン、タブレットなどの会社のデバイスと、個人ユーザーのデバイスどちらにもアプリレベルのデータ保護に対応しています。

モバイルアプリケーション管理（MAM）を利用して、アプリケーション内のデータを管理し保護します。Intuneに登録しているデバイスのデータ保護も可能です。生産性を向上するMicrosoftアプリの多くは、MAM Intuneでの管理ができます。

◯クラウドセキュリティに関する記事はこちらでご覧いただけます

Intuneを導入するメリット

では、次にIntuneを導入するメリットを解説します。

デバイスを適切に管理できる

Intuneを導入することで、業務に使用するデバイスを適切に管理できるようになります。以前のように全ての端末が社内ネットワーク内に置かれていればよいのですが、業務スタイルが柔軟的に変化した現代においてはなかなかそうもいきません。

Intuneを利用すれば、業務に使用するさまざまなデバイスを一元管理し、社内の情報やデータを保護することができます。登録されたデバイスは、Intuneの管理画面に表示され、デバイス名や所有者、シリアルナンバーなどを確認することが可能です。

セキュリティを幅広く保護できる

Intuneを活用してモバイル端末を管理すれば、セキュリティを幅広く保護することができます。モバイル端末は高機能なのに軽量でどこにでも持ち運びやすいといったメリットを備えていますが、その分紛失しやすいといったリスクも抱えています。

Intuneにデバイスを登録しておけば、モバイル端末を紛失したり盗まれたりした際に組織データを遠隔的に削除することができます。業務用デバイスに導入するだけでセキュリティを高められるのもIntuneの特徴と言えるでしょう。

クラウドで運用されている

Intuneは、クラウドで運用されているツールです。システムの運用方式としては大まかに「オンプレミス」と「クラウド」がありますが、現在はクラウド型のものが主流になっています。

クラウドのメリットとしては、下記のようなものが挙げられるでしょう。

• 専用機器を購入する必要がないため、初期コストが低い
• ベンダー側で自動的にバグフィクスやアップデートを行ってくれる
• インターネットに接続できればどこからでもアクセス可能
• 利用する端末を選ばない

クラウド型のシステムは、利用環境の柔軟性が特徴です。さまざまな場所から多様なデバイスでアクセスされるような場合にメリットを得やすいでしょう。

情シス担当者やシステム管理者の手間を削減できる

IntuneとAzure Active Directoryを導入すれば、情シス担当者やシステム管理者の手間を大きく削減できます。社内イントラネットによるネットワーク構築が行われている場合、内部にあるデバイスは管理可能でしたが、外部からのアクセスに対応するのは手間がかかりました。

IntuneとAzure Active Directoryであれば、外部からのアクセスにも対応可能です。Intuneに登録されているデバイスからのみ社内のメールやサービスにアクセスできるようにすれば逐一対応が不要になり、管理の手間が省けるでしょう。

従業員の個人用デバイスから利用可能

Intuneを活用することで、従業員が持っている個人用デバイスを業務に利用することが可能です。一般的に従業員の個人用デバイスを業務活用するのは、会社にも従業員にも相応の負担を伴います。

Intuneを用いれば、Bring Your Own Device（BYOD）とセキュリティを両立可能です。もし従業員が自身の端末をIntuneに登録したがらない場合でも、アプリケーション管理のみに限定するといった細かなアプローチを行えます。

アプリや更新プログラムを管理できる

Intuneを導入すれば、登録デバイスにインストールされているアプリや更新プログラムを管理することが可能です。現代はテクノロジーの発展に伴い数多くのアプリがリリースされていますが、中にはセキュリティに問題が生じるものもあるかもしれません。

従業員が業務用の端末に自己判断でアプリをインストールすることを「シャドーIT」と呼びます。シャドーITの是非はケース・バイ・ケースですが、一般的には組織のセキュリティに問題を生じさせる可能性のある好ましくない行為と定義されています。

Intuneには、従業員のモバイル端末をそのまま業務に使用するためのBYODアプローチが用意されています。シャドーITによるセキュリティリスクがそのまま組織のセキュリティリスクに繋がるのを防ぐことができます。

 Microsoft Intune Suiteに追加された3つの新製品

Microsoft Intune Suiteに「Microsoft Intune高度分析」「Microsoft Intuneエンタープライズアプリケーション管理」「MicrosoftクラウドPKI」が追加されました。それぞれの機能や特徴を順に紹介します。

Intune Suiteとは

Intune Suiteは、高度なエンドポイント管理とセキュリティーの強化が統合されたアプリケーションです。エンドポイント管理とワークフローを一元化して、複雑なIT・セキュリティオペレーションをシンプルに管理できます。

またMicrosoft Securityシグナルとエンドポイント管理機能を使用し、サイバー攻撃から組織内のデータを保護します。

Microsoft Intune高度分析

Microsoft Intune高度分析は、組織内のデバイスの状態を全体的に把握して可視化し、データによる分析情報から最適化します。Intune高度分析を使用することで、デバイスとアプリに起こりうる問題が検出されてトラブルを未然に防げます。

高度分析は、カスタムデバイススコープを使用することで、エンドポイント分析レポートとして、登録したデバイスの分析情報が確認できます。ほかにも、デバイスクエリを使用すると、デバイスの状態と構成のデータにリアルタイムにアクセスできて、問題が迅速に解決できます。

エンタープライズ アプリケーション管理

Microsoft Intuneエンタープライズアプリケーション管理では、事前にパッケージ化されたアプリの安全なアプリカタログを利用し、アプリの検出や、展開・更新を行えます。アプリケーションの管理シンプルにして効率的に行います。

さらに、セキュリティリスクを軽減し脆弱性が検出されるとすぐに、アプリの修正プログラムを展開します。そのほかにも、古くなったアプリを特定して更新し、最新のセキュリティを維持する機能も備わっています。

MicrosoftクラウドPKI

エンドポイントを管理する証明書の管理を効率化します。証明書の配信を自動的に行い、発行・配信・失効などの作業を簡略化できます。専門的な知識や技術は必要ありません。数分でPKI（公開キー基盤）を設定、作業がすぐに完了します。

Intuneで管理されるデバイスの証明書の自動展開や、デバイスがインベントリから削除された場合は、証明書を自動失効または手動失効をするサポートが行われます。時間のかかる作業と労力をスキップできます。

Intuneに埋め込まれたCopilot for Security

Intuneに埋め込まれているCopilot for Securityは、AIセキュリティ分析ツールです。セキュリティ担当者から提供されたプロンプトによる質問に素早く答え、すぐに意思決定をしてアクションにつなげるサポートをします。

また、デバイスへのサイバー脅威からデータやIDを保護し、クラウド全体のセキュリティを強化します。特殊な言語モデルとMicrosoft独自のセキュリティ機能を組み合わせられたセキュリティAIです。

機能

Intuneに組み込まれているAI機能は、Intuneデータにアクセスしてデバイス問題のトラブルを素早く解決します。

◼︎Copilotで疑問がすぐに解決

Copilotにプロンプトを提供すると、セキュリティとIT業務のアクションにつながる具体的な回答がすぐに得られます。Copilotは、Intuneデータにアクセスしてセキュリティの脆弱性に関する調査や、デバイス情報、アクセスポリシーの生成や要約、ユーザーリスクの特定・要約などを行います。あらゆる疑問がすぐに解決できて業務がスムーズに進められます。

◼︎サイバー脅威を迅速に知らせる

Microsoft独自のグローバル脅威インテリジェンスと膨大なシグナルにより被害が発生する前に脅威を知らせます。

◼︎迅速にデータを保護

素早くシグナルを分析して処理し、リスクを検出して、セキュリティ体制を強化します。サイバー脅威から迅速にデータを保護することが可能です。

◼︎Microsoftセキュリティ製品と連携できる

Copilot for Securityは、Microsoft IntuneやMicrosoft Defender XDR、Microsoft EntraなどのMicrosoft Security製品と連携して使用できます。

IntuneでCopilotを使用するには

IntuneのCopilotは、Intune管理センターで使用できます。使用する条件として、管理者チームがCopilot for SecurityまたはMicrosoft Entra IDのメンバーである必要があります。

IntuneでCopilot機能を使用するには、Microsoft Copilot for Securityポータルで実行ツアーを完了しセットアップします。Intuneプラグインが有効になっていることが確認できると、Intuneデータにアクセスして管理センターでCopilotの使用ができます。

Intuneを効率的に導入・活用するためのポイント

では、次にIntuneを効率的に導入・活用するためのポイントをいくつかご紹介します。

適切な制限を施す

IntuneとAzure Active Directoryではさまざまな管理を行うことができます。一例としては、下記のようなものが挙げられるでしょう。

• 要件を満たさないデバイスからのアクセスをブロック
• インストールされているアプリや更新プログラムの管理
• 紛失の際などにおけるデータの遠隔的な削除

IntuneとAzure Active Directoryによりデバイスとアカウントを管理する目的は、組織のデータを安全に保護することです。安全性を求めるのであれば要件を厳格にし、わずかでもリスクがあるデバイスからのアクセスは全てブロックするのが効果的かもしれません。

ただ、制限を厳しくすればするほど一般的な利便性は低下します。もちろんIntuneを正しく活用すれば安全性と利便性を両立することは可能ですが、どのような制限が組織にとってベストかを総合的に判断する必要があります。

シンプルな運用を心がける

IntuneとAzure Active Directoryに限らず、Microsoft社の製品はいずれも豊富な機能が搭載されています。機能が多ければ多いほどできることも増え自由度も高まりますが、その分運用ポリシーが複雑になりやすいといった難点もあるでしょう。

複雑なシステムやツールを業務に馴染ませるためには、なるべくシンプルな運用を心がけることが大事です。「一度設定してしまえばあとはシステムが自動的に行ってくれる」のであれば、運用の負荷を大きく下げられます。

あるいは「管理部は多少複雑になるが、一般ユーザーは複雑性を意識せず活用できる」でもよいかもしれません。「セキュリティを意識することなくセキュリティが保護される」のも一つの成功例です。

信用できるコンサルティングを利用する

IntuneとAzure Active Directory効率的に導入・活用するためには、信用できるコンサルティングサービスを利用するのも手です。Intuneを導入する方法はいくつか存在するため、どれがベストかを自社で判断するのは難しい場合もあります。

多くのケースにおいて、Microsoft 365 Business Premiumのプランを契約するのがベターでしょう。しかし、Microsoft 365にもいくつかのプランが存在するため、選択の余地が発生します。

IntuneやAzure Active Directoryや他Microsoftサービスの導入実績を豊富に持つコンサルティングサービスを利用することで、より良い導入方法や活用方法を見つけることができます。

Intune導入をおすすめするケース

それでは、最後にIntune導入をおすすめしたい具体的なケースをいくつかご紹介します。

モバイル端末を頻繁に業務に活用している

モバイル端末を頻繁に業務活用しているような場合、Intune導入によるメリットを得やすいでしょう。前述の通り、Intuneはモバイルを含むさまざまなデバイスを管理するためのツールです。

Intuneと活用すれば、従業員が所有している端末をそのまま業務に活用することもでき、コスト削減に繋がります。また、Azure Active Directoryで要件を満たさないデバイスからのアクセスをブロックすれば、外部からのアクセスを受け入れつつデータの安全性を保つことができます。

テレワークを実施している

テレワークにおいても、IntuneとAzure Active Directoryは強い味方になってくれるでしょう。テレワークにおける問題の一つに「個々人がどのような環境からアクセスしているかが不明確になる」が挙げられます。

Azure Active Directoryは「アクセスを試みているデバイスが設定されたポリシーに準拠しているか否か」を判別してくれるツールです。複数人がそれぞれ異なる環境からアクセスすることが想定されるテレワークにおいて、セキュリティを保護してくれます。

まとめ

Microsoft IntuneとAzure Active Directoryを導入すれば、組織のポリシーに準拠していないデバイスからのアクセスをブロックすることができます。適切な運用を行い、組織のセキュリティを強化しましょう。