みなさんこんにちは。

これまで何度かIntuneについての記事を書いていますが、「そもそもIntuneとは何か」についてまだ書いていませんでした。

Intuneは単体でもかなり多くの機能がある上に、他のMicrosoftサービスと連携することで更に機能拡張できるようになっています。
そうした複雑さが入門の妨げになっているのではないかと思います。

そこで今回はなるべくシンプルに、Intuneで何ができるのかまとめたいと思います。

MDMとMAMについて

IntuneのMDM

Intuneを説明する上で、Mobile Device Management（MDM）とMobile Application Management（MAM）という言葉を押さえておく必要があります。

MDMとは、一言で言えば持ち歩くデバイスを組織が管理することです。

そもそも一昔前までは仕事はオフィスで（オフィスのPCで）行うことがほとんどで、携帯端末では処理性能など制約から大したことはできなかったと思います
（ガラケーを思い出してみてください）。

また仕事のデータも会社の内部ネットワークに保存され、インターネット経由でアクセスできるものではありませんでした。

そのためIT管理者はオフィスのPCをきちんと管理できていれば問題ありませんでした。
いわゆるActive Directoryを利用した管理などです。

しかしスマートフォンやクラウドサービスの普及によって、場所を問わずどのデバイスからでも仕事のデータにアクセスできるようになりました。
便利になった反面、情報漏洩や紛失のリスクをどうケアしていくか考える必要が出てきました。

そこで場所やOSを問わず遠隔操作でデバイス管理できるMDMサービスが登場してきた、ということなのです。

Intune MDMの代表的な機能としては、
・端末の機能を制限して情報漏洩リスクに対処する
・セキュリティアップデートを定期的に適用する
・必要なアプリケーションを自動でインストールする
・紛失時に位置情報を取得したりデータ消去を行う
などがあります。

組織として必要な設定をデバイスに予め適用しておき、ユーザーが安全に手間なく使い始められるようにするわけです。

従来のキッティングとあまり変わらないように思えるかもしれませんが、IntuneはマルチOS対応しているので、PCだけでなくスマートフォンに対しても設定を行うことができます。
また手動で設定する場合と異なり、Intuneから行った設定はユーザー側で変更することができません。

OSによって設定できる範囲は異なるものの、同じサービスでPCとスマートフォンを一元管理できる点はメリットかと思います。

そして端末紛失時にデータをリモートワイプする機能については、MDMを導入しないと実現が難しいものかと思います。

そのためWindowsの設定と管理には引き続きActive Directoryを使い、リモートワイプのためにIntuneを併用する事例もあります。

リモートワイプというと聞こえはいいのですが、実際は端末の電源が入っていてインターネットと通信できることが前提となります。（でないとIntuneからの操作がデバイスに届きません。）

そのため接続なしでデバイスのロックを解除されたらローカルのデータはどうしようもありません。
完全な対策とは言えませんが、Bitlokerなどのストレージ暗号化と併用した方がよいでしょう。

なお、SKYSEAのような資産管理サービスと比較されることがよくありますが、Intuneだけで資産管理するのは少々無理があります。

ある程度のインベントリ情報は取得できるのですが、その情報を何かに活用するような機能がありません。
あくまでIntuneは端末制御を目的とした製品と考えた方がよいです。
Intune導入後も資産管理は別サービスを併用する例も多いです。

IntuneのMAM

さて、MDMは端末全体に対する管理ですが、MAMはアプリケーション単位の管理という意味になります。

BYOD（Bring Your Own Device）という言葉を聞いたことがあるでしょうか。
個人が所有している端末を仕事で利用するという意味です。

今や殆どの大人がスマートフォンを所有している時代ですから、例えばスマートフォンのBYODを許可すれば、組織がスマートフォンを購入して配布するコストを削減できます。

そうなるとBYODでも、ある程度のセキュリティ要件は担保したい。
しかし個人の持ち物なので端末そのものを制御するわけにはいかない。

そのような場合に、MAMを利用して仕事で使うアプリだけを管理して、最低限のセキュリティレベルを確保する。
そういった使い方が可能です。

IntuneのMAM機能は主にスマートフォン向けです。アプリ保護ポリシーと言います。

アプリ側が要件に対応している必要があり、Microsoft製アプリと一部の3rdParty製アプリでしか利用できません。

機能としては、保護対象のアプリからファイルをダウンロードしたりコピーすることをブロックできます。
また組織アカウントでサインインする際にOSのバージョンをチェックしたり、脱獄検知をかけたりすることもできます。

前段でBYODの話を例に出しましたが、もちろん会社支給のデバイスに適用することもできます。

PC側はWindows向けにWIPという機能があったのですが、既にサービス終了が発表されています。
MDMと組み合わせてアプリのインストールをある程度防いだりすることはできますが、それをMAMと呼べるかは微妙なところです。
そのため、現状ではPC向けのMAMはこれといった機能がない状態です。

とはいえ、1つのサービスでMDMとMAM両方が利用できる製品は案外少ないのではないでしょうか。

他サービスとの連携

このようにIntuneだけでもデバイス管理では十分な機能がありますが、他のMicrosoftサービスと連携することで更に様々なことができるようになります。
少々小難しい話になります。

条件付きアクセスとの連携

条件付きアクセスはAzure Active Directoryを利用してアクセス制御を行う機能です。

アクセス制御の条件の中で、Intuneでコンプライアンスポリシー準拠しているデバイスのみアクセス可能とすることができます。

早い話が、Intuneに登録したデバイスでないとアクセスできなくする機能です。
個人所有デバイスや攻撃者からのアクセスを防ぐことができます。

Defender for Endpointとの連携

Microsoft Defender for Endpoint（MDE）はマルウェア対策やEDRなどのデバイス保護機能を提供するサービスです。

Windowsとそれ以外で若干内容が異なり、現状はWindowsの保護がメインになっています。
Windowsには元々Windows Defender（今はMicrosoft Defender）という保護機能が組み込まれていますが、それをMDEで制御したり、機能拡張することができます。

そのMDEの詳細な設定について、Intuneを介してデバイスに行う仕組みになっているのです。
そのため、本格的にMDEでWindowsを保護したい場合はIntuneも合わせて利用することをおすすめします。

まとめ

Intuneについて簡単に概要をご説明してきましたが、いかがでしたでしょうか。

デバイスやアプリの制御と一言に言っても、OS毎に仕組みも異なりますし、設定できる内容や設定方法も異なるので、「Intuneで何ができるか？」のイメージを掴むのは中々大変です。

まずはざっくり全体像を理解して、後は実機を使って学習していくのがよいのではないかと思います。

この記事が何かの参考になれば幸いです。