前回は、Intuneの構成プロファイルについて紹介いたしました。 blog.jbs.co.jp 今回は、アプリ保護ポリシーについてご紹介いたします。 アプリ保護ポリシーとは アプリ保護ポリシー適用条件 アプリ保護ポリシー設定項目説明 画面キャプチャとGoogleアシスタント 本ポリシーにおけるGoogleアシスタント アプリ保護ポリシー作成・適用方法 アプリ保護ポリシー適用結果確認 画面ショット挙動確認 アプリ保護ポリシーを適用していない「Outlook」アプリ アプリ保護ポリシーを適用した「Edge」アプリ 起動中アプリ確認画面挙動確認 アプリ保護ポリシーを適用していない「Outlook」アプリ アプリ保護ポリシーを適用した「Edge」アプリ まとめ アプリ保護ポリシーとは アプリ保護ポリシーは、特定のアプリケーション内の組織データを保護することが出来るポリシーになります。 前回の記事で

Intuneの「更新リング」という機能を利用すると、組織内のデバイスに対して更新プログラムを効率よく運用することが出来ます。*1 組織で更新プログラムのインストールのタイミングを制御することで、定めた期間に更新プログラムを適用できたり、社内のネットワークワークトラフィックのひっ迫を防いだりすることが可能です。 例えば、一部の端末のみに最新の更新プログラムを適用し、それ以外の端末は数日遅れで更新プログラムを適用するような運用方法も可能になります。 今回は、Intuneで更新リングを適用する方法を説明したいと思います。少しでも参考になると幸いです。 更新リング 機能更新プログラムと品質更新プログラム 機能更新プログラム 品質更新プログラム 更新リングの概要 更新リングの作成方法 前提条件 ポリシーの作成方法 最後に 更新リング 機能更新プログラムと品質更新プログラム Windows10以降、更

前回は、Intuneのコンプライアンスポリシーについて紹介いたしました。 blog.jbs.co.jp 今回は、構成プロファイルについてご紹介いたします。 構成プロファイルとは 構成プロファイルによるデバイスの制限 構成プロファイルによる「デバイスの制限」の設定方法 構成プロファイルによる「デバイスの制限」の適用結果確認 Intuneから配布したアプリ内での挙動 Intuneから配布したアプリと個人用アプリ間での挙動 まとめ 構成プロファイルとは 構成プロファイルは、デバイスに対する各種設定を行ったり、特定の機能設定の変更を禁止する事が出来る機能です。 これにより、Intuneを通して設定したポリシーに沿ったモバイルデバイス運用が出来るようになります。 構成プロファイルによるデバイスの制限 構成プロファイルは、モバイルデバイスの場合iOS/AndroidどちらのOSにも対応していますが、O

今回は、Microsoft Intuneのアプリ保護ポリシーを使用しているモバイルデバイスに対して、企業データをリモートワイプする方法を記載します。 アプリ保護ポリシー適用確認方法 管理対象アプリから企業データのみを削除する方法 デバイス側の挙動 企業データと個人データが共存している場合 おわりに アプリ保護ポリシー適用確認方法 アプリ保護ポリシー適用後、管理者がポリシーの適用状況を確認したい場合、Intune管理センターから以下のように確認します。 Intune管理センター アプリ ＞ アプリ保護ポリシー ＞ポリシー名 ＞ 概要 ポリシーが適用されている場合、該当アプリのチェックイン数がカウントされます。 AndroidでMicrosoft 365をアプリ保護ポリシーの対象とする場合、以下の3つを追加します。 Microsoft Office : 中国のストア用の Office アプリ保

今回はMicrosoft Intune アプリ保護ポリシー（MAM）の設定値の中から以下３項目の設定値・端末挙動を記載します。 画面キャプチャと Google アシスタント（Android） 生体認証の更新後にPINで生体認証をオーバライドする（Android） 他のアプリからデータを受信（iOS/Android） おわりに 画面キャプチャと Google アシスタント（Android） 本設定値はAndroidのみに存在する設定値となります。 既定値は「許可」ですが、「ブロック」とするとMAM管理対象のアプリを開いている状態で画面キャプチャ・Googleアシスタントの機能が使用できなくなります。 また、バックグラウンドにアプリがある場合にアプリの内容がマスクされます。 「有効」の場合。バックグラウンドで開いたときアプリの内容が見える。 「無効」の場合。バックグラウンド上でアプリの内容がマ

前回、IntuneにAndroidデバイスを登録する方法をご紹介しました。 blog.jbs.co.jp今回は、コンプライアンスポリシーを使用して、登録したデバイスに対して様々な設定を適用する方法をご紹介いたします。 コンプライアンスポリシーとは コンプライアンスポリシー設定項目説明 デバイスの正常性 コンプライアンスポリシーの作成・適用方法 コンプライアンスポリシー適用結果確認 まとめ コンプライアンスポリシーとは コンプライアンスポリシーは、組織が定義したセキュリティ要件に準拠しているのかを確認するための設定になります。 Intuneであらかじめコンプライアンスポリシーの設定を行い、Intuneに登録されたデバイスがその要件を満たしていたら「準拠」、要件を満たしていなかったら「非準拠」と判定されます。 コンプライアンスポリシー設定項目説明 コンプライアンスポリシーはOSごとに設定項目が

アプリ保護ポリシーを作成すると、モバイル デバイス上の企業データを保護したり、モバイル デバイス上のアプリによるデータのアクセスと共有方法の制御ができたりします。 今回は、アプリ保護ポリシーの作成方法・各設定値について紹介します。 アプリ保護ポリシー アプリ データ保護 他のアプリにデータを送信 他のアプリからデータを受信 他のアプリとの間で切り取り、コピー、貼り付けを制限する 組織のデータを暗号化 ポリシー マネージド アプリ データとネイティブ アプリまたはアドインの同期 組織データを出力する アクセス要件 PINの種類 単純なPIN タイムアウト後は PIN で生体認証をオーバーライドする 非アクティブの時間（分）後にアクセス権を再確認します 条件付起動 割り当て 終わりに アプリ保護ポリシー ポリシーはIntune管理センター アプリ ＞ アプリ保護ポリシーから作成します。 なお、

1台のWindows端末を複数人で共有し、最小限のメンテナンスで管理をしたい場合はIntuneの共有PCモードが便利です。 共有PCモードを使う際は利用するアプリケーションのライセンスも考慮が必要になりますが、Microsoft 365 のWordやExcelなどのOfficeツールは共有端末のライセンス認証に対応しています。 Intuneによる共有PCモードの展開と上記Officeツールの導入について記載します。 前提条件 Microsoft Intune管理センターでの作業 自動登録 構成プロファイル 「共有のマルチユーザーのデバイス」の構成設定 「共有のマルチユーザーのデバイス」の割り当て その他の構成プロファイル Windowsアプリの配信 共有PCデバイスのIntune登録 構成プロファイルの適用状況確認 共有PCの動作確認 ゲストでサインイン ME-IDのアカウントでサインイン

前回は、iOS/iPad OSを監視対象にする方法について説明しました。ポイントは次の2点でした。 iOS / iPad OSを監視対象にして、組織などが各種制限をかけることが出来る 監視対象の端末しか制限をかけることが出来ない項目がある これらを踏まえ、今回は、Intune登録だけで制限できる項目や、監視対象にしないと制限できない項目を説明しながら、実際にプロファイルを割り当ててみたいと思います。 構成プロファイルについて 構成プロファイルの作成方法・設定内容 監視対象と構成プロファイル 実際の端末の動作 iCloudバックアップをブロックする AirDropのブロック App Storeをブロック 最後に 構成プロファイルについて Intuneでは、iOS/iPad OSの構成プロファイルを作成する事が出来ます。 構成プロファイルを用いることで、デバイスの制限やネットワーク設定などユー

Windows Autopilot（以下Autopilot）とは、Windows OSをクラウド経由で展開することができ、PCの新規セットアップにかかる手間を省くことが出来るクラウドサービスです。 Autopilotを利用するには、PCに元々内蔵されているハードウェアIDをIntuneに事前に登録する必要があります。 IntuneにハードウェアIDが登録されると動的デバイスグループに自動的に割り当てられて、Autopilotのデプロイプロファイルが適用される仕組みとなっています。 ハードウェアIDにグループタグを付与することで、グループタグの種類ごとに動的デバイスグループの割り当てを制御するすることが出来るのですが、その際にCSVファイルを用いると手動で一個一個付与する手間が省けます 本記事では、CSVファイルを使って、Intuneに登録したデバイスに自動でグループタグを付与する方法につい

近年、ビジネスシーンではスマートフォンやタブレット端末を利用する機会が増えております。 情報漏洩等による企業への損害を起こさないようにするために、このようなデバイスについて把握をする必要があります。 今回は、Microsoft Intuneを使用したAndroidデバイスを管理する方法について記載いたします。 Androidデバイス登録 Androidデバイス登録手順 IntuneとAndroid Enterpriseを関連付ける Androidデバイス登録設定 まとめ Androidデバイス登録 IntuneにAndroidデバイスを管理する方法は4通りあります。 プロファイル 特徴 端末所有者 仕事用プロファイルを使用した個人所有のデバイス デバイスからIntuneへの登録を行うことで作業が完了する。 クラウド側での設定が不要。 個人所有 仕事用プロファイルを使用した会社所有デバイス

前回の記事では、「Intune からの MMA(以下MMA)  の配布」について記載しました。 今回は、「Intune からのワークスペース設定変更」について記載します。 MMA のインストールファイルの作成 Intune からの MMA の配布 Intune からのワークスペース設定変更 Intune からのワークスペース設定変更 手動での MMA 設定変更方法 設定追加 設定削除 PowerShell の作成 ワークスペース追加 ワークスペースの削除 Intune からの PowerShell の配布 さいごに Intune からのワークスペース設定変更 前回記事の最後に記載した通り、Intune のアプリ配布設定では MMA のワークスペース設定の追加/削除を行うことができません。 とはいえ、管理対象の PC 一台ずつに接続し手動で追加/削除を実行することは現実的ではありません。 そ

前回の記事では、「Microsoft Monitoring Agent(以下MMA) のインストールファイルの作成」について記載しました。 今回は、「Intune からの MMA の配布」について記載します。 MMA のインストールファイルの作成 Intune からの MMA の配布 Intune からのワークスペース設定変更 ワークスペースキーと ID の保存 Intune からの配布 インストール結果確認 さいごに ワークスペースキーと ID の保存 Intune から MMA の配布設定を行う際には、LogAnalytics ワークスペースのワークスペース ID とキーが必要となるため、まずはじめにメモしておきます。 記載されている場所は、ログ収集先の LogAnalytics ワークスペース ＞ エージェント の以下画像の赤枠部分です。 Intune からの配布 Intune ＞

はじめに 用語説明 事前準備 インストーラーファイル(.exe等)⇒ .intunewin ファイルへ変換する インストールコマンドの確認方法 アンインストールコマンドの確認方法 検出規則の設定値 確認方法 検出規則を「MSI」で設定する場合 検出規則を「ファイル」で設定する場合 検出規則を「レジストリ」で設定する場合 最後に はじめに 本シリーズでは、Intune から Windows アプリ(Win32) を配信する方法について解説します。 今回はアプリ配信の設定に必要なファイルや情報の準備方法を記載します。 用語説明 インストールコマンド Intune でアプリのインストール処理を割り当てた際に、割り当て先で実行されるコマンドです。 アンインストールコマンド Intune でアプリのアンインストール処理を割り当てた際に、割り当て先で実行されるコマンドです。 検出規則 アプリが配信先の

事前準備 個人所有デバイスのブロック設定 端末情報の取得 端末情報の登録 iOS Windows 端末ブロックの動作画面 iOS Windows まとめ 前回は会社支給端末のみを管理するための "概要" と "制御方法" について解説しました。 今回は実際に端末情報を登録する方法や登録されていない端末がブロックされる動作画面を紹介します。 事前準備 個人所有デバイスのブロック設定 まずは Intune 管理画面で個人所有のデバイスを登録できないように制限します。 Intune へのログイン方法は下記ブログで紹介していますので参照してください。 【Made in Home 365 #4】PC を Intune に自動登録 - JBS Tech Blog では早速設定していきましょう。 [Intune] > [デバイス] > [デバイスの登録] > [登録デバイスのプラットフォームの制限] か

概要とフロー OS ごとの制御方法 「会社が指定した端末のみ管理したい」といった要望をよくお客様からいただきます。 日本企業のみで多い要望らしいのですが、簡単に読み解くと、会社が認めた端末(会社支給端末)は会社リソース(社内ネットワークやメール、チャットなどのコミュニケーションツール)にアクセスさせたい、しかしながら会社が認めていない個人所有の端末はブロックしたいという要望が多いです。 このような端末管理に関する要件を Choose Your Own Device (CYOD) と呼びます。 今回は Microsoft 365 は会社支給端末のみを管理できるかという視点で解説していきたいと思います。 概要とフロー さっそく結論からいうと Microsoft 365 の Azure AD と Intune を利用して、会社支給端末のみを会社リソースにアクセスさせることは可能です。 まずはフロ

はじめに デバイスのオンボード手順 前提条件 手順 デバイスの同期確認 セキュリティポリシーの有効化 簡略化された構成プロセス エンドポイントセキュリティ おわりに はじめに Intune登録デバイスをMicrosoft 365 Defenderに連携する方法を記載します。 オンボード方法について過去記事があります。 blog.jbs.co.jp 一部重複しますが、追加でオンボード結果確認とポリシーについて触れています。 デバイスのオンボード手順 前提条件 「Microsoft Endpoint Manager admin center」及び「Microsoft 365 Defender」にアクセスできるユーザーアカウントでの作業を想定しています。 手順 「Microsoft 365 Defender」の「設定」-「エンドポイント」-「高度な接続」で「Microsoft Intune接続」

はじめに 手順 前提条件 Wi-Fi設定の構成プロファイル作成 手動によるWi-Fi構成を拒否する構成プロファイル作成 Windows端末で確認 構成プロファイルの適用状況確認 おわりに はじめに Intune管理のWindows10端末で、IT管理者が用意した無線LANプロファイル以外を使わせない構成を検証した時のナレッジを紹介します。 手順 前提条件 Intune管理者ロールを持つアカウントでMicrosoft Endpoint Manager admin center（以下、管理センター）にサインインしていること https://endpoint.microsoft.com/?ref=AdminCenter#home IntuneにWindows10デバイスが登録されていること Wi-Fi設定の構成プロファイル作成 IT管理者が利用者に使用させたいWi-Fi設定の構成プロファイルを作

はじめに ワイプとリタイヤの違いについて ワイプとリタイヤの仕様について デバイス⇔Intune 間が接続不可だった場合の動作 ワイプ/リタイヤの取り消しは可能か 最後に はじめに 本記事では Intune のワイプとリタイヤの違い、および細かな仕様について紹介します。 ワイプとリタイヤの違いについて ワイプとリタイヤの集合関係 ワイプ：ユーザー及び会社のデータを削除します。 リタイヤ：会社のデータのみを削除します。 その為、リタイヤは「セレクティブワイプ」とも呼ばれます。 ワイプとリタイヤの仕様について Intune 管理センターからワイプ/リタイヤ実施時の仕様について下記に記載します。 （ Microsoft Support への問い合わせや実機での検証済みです。） デバイス⇔Intune 間が接続不可だった場合の動作 デバイス⇔ Intune 間の通信ができている場合のみ、ワイプ/リ

はじめに Microsoft Intune Enrollmentとは？ Microsoft Intune Enrollmentの表示方法 おわりに はじめに デバイス登録時の条件付きアクセス制御設定を書こうとした際、クラウドアプリのMicrosoft Intune Enrollmentが表示されないことに気づきました。 今回は再表示する方法について記載をします。 Microsoft Intune Enrollmentとは？ デバイス登録時の評価で利用します。 初期状態で表示されるMicrosoft Intuneとの差異は以下になります。 Microsoft Intune 設定アシスタント、ポータルサイトアプリが対象 デバイス登録時、ポータルサイトアプリやポータルサイトWebサイトのログイン時に評価 条件付きアクセスMFA要求の場合は、ポータルサイトWebサイトログイン時にのみ評価 Micr