以下公開情報にもある通り、App SDK更新により、特定の条件下においてアプリ保護ポリシー対象アプリの画面キャプチャがブロックされる動作となりました。 learn.microsoft.com 本記事では、アプリ構成ポリシーを使用した画面キャプチャブロックを回避する方法について記載します。 App SDK更新による影響 回避策 おわりに App SDK更新による影響 MC907517によるApp SDK更新により、アプリ保護ポリシーの”他のアプリに組織データを送信”を[すべてのアプリ]以外に設定している場合、対象アプリでは画面キャプチャがブロックされる動作となりました。 Outlook上の動作 Teams画面共有時の動作 回避策 以下の手順でアプリ構成ポリシーを作成・適用します。 1. Intune管理センターにサインインします。 2. [アプリ]>[構成]>[作成]>[マネージドアプリ]を

本記事では「Microsoft Intune Connector for Active Directory」(以下、Intune Connector)におけるセキュリティ更新の詳細とアップデート方法について解説していきます。 ※ この記事の情報は2025/4/30時点のものです。 Microsoft Intune Connector for Active Directoryのセキュリティ更新情報 前提条件 Intune Connectorのバージョン サーバー最小要件 アカウントと権限 Managed Service Accountsコンテナの確認 Edge WebView2ランタイムの新規導入 アップデート手順 1. 事前準備 2. アンインストール 3. インストール 4. Intune Connectorの構成 5. ドメイン参加OUの指定（XMLファイルの編集） 6. MSAの構成

この記事では、Windows端末でのBitLocker回復キー保存をIntuneから配布する手順をご紹介します。 IntuneからBitLocker関連の設定を配布する場合、構成プロファイルにてBitLockerに関するテンプレートが準備されています。 Intuneを使用して Windows デバイスを暗号化する - Microsoft Intune | Microsoft Learn 今回は、BitLockerの回復キーを保存するコマンドをスクリプト化したものをIntuneから配る、という方法をご紹介します。 BitLockerの回復キーに関するコマンド 回復キー取得コマンド 回復キー保存コマンド コマンドのスクリプト化 スクリプトをIntuneから配る 終わりに BitLockerの回復キーに関するコマンド Bitlockerの回復キーの取得、EntraIDへの保存は以下コマンドにて実

Microsoft Defender for EndpointとIntuneを接続する際は、Microsoft Defender管理センターの「設定>エンドポイント>高度な機能>Microsoft Intune 接続」の項目をオンに変更します。 この設定がオフの状態のときに"Microsoft Intune ライセンスが見つかりませんでした"というエラーメッセージが表示されていることがありました。しかし、該当項目のトグルはオンに変更できる状態となっており、オンに変更するとエラーメッセージは消えます。 本記事では、オフの状態のときにメッセージが表示される原因と、Microsoft Defender for Endpoint(以下、MDE)とIntuneを接続することで利用できる機能についてご紹介します。 前提条件 ライセンス 管理者権限 エラーメッセージが表示される原因 メッセージが表示され

企業で社員のPCを管理する際に、メールの誤送信対策として即時送信を許可する設定を強制的に無効化し、かつユーザーが設定変更できないよう制御したいケースがあるかと思います。 IntuneにはMicrosoft Outlookにおいて上記のような制御をすることができるポリシー（構成プロファイル）が用意されています。 本記事に記載するポリシーを作成し適用させることにより、以下のキャプチャのように設定を制御することが可能となります。 本記事では、「構成プロファイル」の設定手順をご紹介します。 前提 構成プロファイルの設定手順 設定の反映方法について ポータル サイト アプリにて手動同期を実施する方法 設定画面にて手動同期を実施する方法 本設定を適用後のメールの送信方法 最後に 前提 本設定作業にはIntune管理者権限が必要となります。 また、対象のOSはWindows（※Windows 10以降）

IntuneのWin32アプリを用いてレジストリキーを配布する機会があり、その中で「HKEY_LOCAL_MACHINE\SOFTWARE」直下にレジストリキーを作成するためのWin32アプリを展開するケースがありました。 その際に「レジストリリダイレクション」という事象の影響を受け、意図した場所にレジストリキーを作成できず困った経験があります。 ※レジストリリダイレクションとは、64bit版のWindowsシステム上で32bitのプログラムが64bitのレジストリを参照する際に、32bit用に用意された場所へリダイレクトされる仕組みのことです。 この事象は、展開時にIntune管理センターにて設定するインストールコマンドを工夫することで回避することが可能でした。 実際に、無事「HKEY_LOCAL_MACHINE\SOFTWARE」直下にレジストリキーを作成することができたため、以下に私

以下の記事で、Intuneの「紛失モード」を利用して、Intune管理デバイスへメッセージを表示させる方法をご紹介しました。 blog.jbs.co.jp 紛失モードに設定すると、さらにデバイスの位置情報を検索したり、デバイスから音を鳴らしたりすることができるようになります。その方法を今回はご紹介します。 前提 紛失モードの有効化（管理者側の操作） デバイスの位置情報を確認する デバイスで音を鳴らす 終わりに 前提 この紛失モードはiOS/iPadOSのみに適用できます。ほかWindows端末等には適用できません。 また、この紛失モードを利用するには、iOS/iPadOSを監視モードで利用している必要があります。 監視モードについては以下Microsoftの公開情報を参照してください。 Microsoft Intune で iOS/iPadOS の監視モードを有効にする | Microso

Intuneのグループポリシー分析機能では、グループポリシー(GPO)をIntuneにインポートすることで、GPOの設定がIntuneに移行できるか確認することができます。 本記事では、グループポリシー分析の使い方について記載します。 グループポリシー分析 Microsoft Intuneにサインインする グループポリシー分析にアクセスする GPOをインポートする 分析したGPOを確認する グループポリシー分析からIntuneに移行する おわりに グループポリシー分析 Microsoft Intuneにサインインする https://intune.microsoft.com/にアクセスし、グローバル管理者またはIntune管理者でサインインします。 グループポリシー分析にアクセスする [デバイス]-[グループポリシー分析]をクリックします。 GPOをインポートする グループポリシー分析画面

Windows 365は、Azure上に配置されているWindows Desktopにインターネット経由で接続できるMicrosoftのVDIソリューションの1つです。 エンドユーザーにライセンスを割り当てることで、クラウドPCと呼ばれる仮想マシンがデプロイされ、各ユーザー専用のWindows 環境として利用することができます。 新しくデプロイされたすべてのクラウドPCにおいて、ポート3389の通信は既定でブロックするようになっているそうです。*1 learn.microsoft.com そのため、クラウドPCに対するRDP接続は接続元問わず必ずブロックされてしまいます。 以前、Windows365環境を構築した際に、クラウドPCに対して管理者ユーザーでRDP接続を実施したいという要件があり、Intuneを用いてRDP接続を許可させるよう対応しました。 本記事では、その対処法を一部ご紹介し

Intune管理デバイスに対して、Microsoft Storeアプリの起動をブロックする方法をご紹介します。 前提 設定手順 [参考]アプリ起動をブロックするXMLの作成方法 終わりに 前提 本手順は、Intune管理者権限を持つ管理者ユーザーで行います。 また、対象のデバイスはWindowsのPCを想定しています。 設定手順 以下URLより、Intune管理センターにアクセスします。 Microsoft Intune admin center 左ペインより[デバイス]メニューを選択し、さらに[構成]をクリックします。 [+作成]>[+新しいポリシー]をクリックします。 プロファイルの作成画面にて、プラットフォームに[Windows 10 以降]、プロファイルの種類に[テンプレート]を選択します。 テンプレートの種類は[カスタム]を選択し、[作成]ボタンをクリックします。 [基本]タブに

近年、リモートワークの増加とセキュリティ強化の観点から、従来のActive Directory ドメインサービス（以下、Active Directory）を使用したデバイス管理から、クラウドベースのMicrosoft Intuneへの移行が進んでおります。 Active Directoryで構成していたグループポリシーの設定をそのままIntuneに移行して実装することが出来ればベストですが、現在のIntuneの仕組みでは実現することが出来ません。 そのため、本記事ではIntuneの機能である「グループ ポリシー分析」を使用してグループポリシーを分析し、Intuneで実装可能なポリシーであるのかを判別し、Intuneで実装可能なポリシーを移行する方法をご紹介いたします。 グループポリシー分析の必要性 手順 グループポリシー設定のエクスポート グループポリシー設定のインポート グループポリシー

Windows Autopilot 実行時の初期セットアップ画面設定は、登録ステータスページ設定にてカスタムすることが可能になります。 登録ステータスページを設定すると、キッティング時にユーザーに表示する画面や許可する操作を制御することが可能です。 本記事では、登録ステータスページで構成することができる設定について紹介します。 登録ステータスページの設定検討時のお役に立てれば幸いです。 登録ステータスページ 登録ステータスページ設定一覧 アプリとプロファイルの構成の進行状況を表示します インストールに要する時間が指定された分数を超えたらエラーを表示します 時間制限またはエラーの発生時にカスタム メッセージを表示する エンド ユーザーのログ収集と診断ページを有効にする out-of-box experience (OOBE) でプロビジョニングされたデバイスにのみページを表示する すべてのア

組織で利用しているデバイスに不要なアプリがインストールされている際に、これをまとめて削除したいというケースが考えられます。 Intune管理デバイスであれば、アプリ削除コマンドをIntuneから配布することにより、該当アプリを削除することができます。 前提 設定手順 スクリプトファイルの作成 Intuneの設定 補足（削除コマンドの応用例） 終わりに 前提 本手順は、Intune管理者権限を持つ管理者ユーザーで行います。 また、対象のデバイスはWindowsのPCを想定しています。 設定手順 今回はWindowsにプリインストールされている、Solitaire & Casual Games（以下、「ソリティアアプリ」と表記）を削除してみます。 ※最近はソリティアアプリは「Solitaire & Casual Games」という名前でWindows端末へプリインストールされています スクリプ

Microsoft TeamsやMicrosoft Outlookなど、Microsoftのアプリケーションは、組織アカウントも個人アカウント（私用アカウント）も追加して利用する事が可能です。 ですが、Intuneで端末している管理では、組織アカウントのみに限定して使用させたいという要望があると思います。 今回は、Microsoft Intuneから配布したMicrosoft TeamsとMicrosoft Outlookに対して、私用アカウントの追加をブロックするポリシーを構成する方法について記載します。 Intune アプリ構成ポリシー設定 端末挙動：Teams 設定前 設定後 端末挙動：Outlook 設定前 設定後 終わりに Intune アプリ構成ポリシー設定 Microsoft Intune管理センターにアクセスする アプリ - アプリ保護ポリシーをクリックする [＋追加] -

Intuneで、管理者はアプリ配布やその他の設定をテナント上で実施した場合、デバイスにはすぐに配布・反映されるわけではありません。 そういった際、デバイス側で同期を実行する事で、すぐに配布されたアプリを受け取ったり、設定を反映する事が出来ます。 前回は、Windowsの設定アプリからの同期方法をご紹介しました。 blog.jbs.co.jp 本記事では、テナントへ登録済みのWindowsデバイスをIntuneと同期する方法のうち、タスクスケジューラーを使った方法を解説します。 ※ 前提として、デバイスのテナント登録が必要となります。 Intuneとの同期方法 タスクスケジューラー タスクスケジューラーを使って手動で同期する方法 タスクスケジューラーによる定期実行のタイミングを変更する方法 同期結果の確認方法 さいごに Intuneとの同期方法 前回記事でも記載しましたが、Windows O

こんにちは。JBS で Microsoft 365 や Jamf の導入を担当している鷲津です。 今回は、先日パブリックプレビューになりました macOS の Platform SSO（以降、PSSO）について紹介いたします。 本記事では、Entra ID と Intune を利用してPlatform SSOを構成していきますので、興味のある方はぜひ最後まで読んでいただけますと幸いです。 Platform SSO とは 前提条件 構成方法 動作確認 最後に Platform SSO とは PSSO とは、macOS に搭載されている SSO 機能です。 元々、SSO Extension 機能という、WWDC2019*1 で発表された機能があったのですが、これが拡張されてPSSOとなった事で、ローカルアカウントの資格情報を ID プロバイダ（Entra ID等）と同期させることが可能になりま

Intuneでは、管理者がアプリ配布やその他の設定をテナント上で実施した場合でも、デバイスにはすぐに配布・反映されるわけではありません。 そういった際、デバイス側で同期を実行する事で、すぐに配布されたアプリを受け取ったり、設定を反映したりする事が出来ます。 本記事では、テナントへ登録済みのWindowsデバイスをIntuneと同期する方法について記載します。 ※ 前提として、デバイスのテナント登録が必要となります。 Intuneとの同期方法 PowerShell 手順 - デバイスID情報取得 タスクスケジューラーから取得 Powershellコマンドで取得する PowerShellを使った同期手順 同期確認 さいごに Intuneとの同期方法 WindowsデバイスをIntuneとすぐに同期する方法として３種類あります。 設定アプリから同期 タスクスケジューラーから同期 PowerShe

Intuneで管理しているWindows PCのスクリーンセーバーを、構成プロファイルから制御する方法をご紹介します。 前提 設定手順 Intune管理センターへのアクセス 構成プロファイル ポリシーの作成 基本設定 構成設定 割り当て～適用性ルールの設定 確認および作成 終わりに 前提 本手順はｍIntune管理者権限を持つ管理者ユーザーで行います。 今回は、600秒(10分)の間PCで操作が無い場合、以下のような"Windows"の3D文字列が表示されるスクリーンセーバーに切り替わるように設定します。 設定手順 Intune管理センターへのアクセス 以下URLよりIntune管理センターにアクセスします。 Microsoft Intune admin center 左ペインより[デバイス]メニューを選択し、さらに[構成]をクリックします。 構成プロファイル ポリシーの作成 [+作成]>

Intuneで管理者ユーザーを作成した際に、Intuneを操作できるすべての権限は与えたくはないが、セキュリティの観点から一部操作できる操作できる権限だけを与えたいといったことはないでしょうか。 現代の企業において、セキュリティと効率性の両立は重要な課題となります。Microsoft Intuneのロールベースアクセス制御(RBAC)を利用すればこの課題を解決できます。 RBACを活用することで管理者はユーザごとに適切なアクセス権限を設定し、組織のリソースを安全かつ効率的に管理することが可能になります。 本記事では、IntuneのRBACの仕組みと作成方法を解説していきます。 IntuneのRBACとは メリット デメリット 作成できるロールの種類 組み込みロール カスタムロール カスタムロールの作成方法 動作確認 構成プロファイルの読み取り Intuneで配布しているアプリのみ読み取り

Intune管理デバイスに対して、Bluetoothによりデータ転送できてしまうことは制限したいが、マウスやキーボードなどのデータ転送が発生しないBluetoothデバイスは接続を許可したい、といったケースがありました。 本記事では、Intune管理デバイスへ接続されるBluetoothのうち、データ転送が発生するBluetoothデバイスのみ制限する方法をご紹介します。 前提 設定手順 終わりに 前提 本手順は、Intune管理者権限を持つ管理者ユーザーで行います。 また、対象のデバイスはWindowsのPCを想定しています。 設定手順 以下URLより、Intune管理センターにアクセスします。 Microsoft Intune admin center 左ペインより[デバイス]メニューを選択し、さらに[構成]をクリックします。 [+作成]>[+新しいポリシー]をクリックします。 プロフ