Written by 武藤 諒
LANSCOPE エンドポイントマネージャー クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。
目 次
Microsoft Intuneとは?概要と特徴
Microsoft Intune、Azure AD、Active Directoryの違いとは?
Microsoft サービスとの連携
Microsoft Intuneによる管理のメリット
Microsoft Intune導入検討時の注意点
Microsoft IntuneとLANSCOPE エンドポイントマネージャー クラウド版の比較
自組織にマッチしたデバイス管理を
Microsoft Intune を導入したら、IT 資産管理ツールは不要!?
Microsoft Intune・IT 資産管理ツールの比較とLANSCOPE エンドポイントマネージャーの導入事例をご紹介
これまで、組織で導入しているPCやスマホはIT資産管理/MDMツールで管理することが一般的でした。IT資産管理ツールはオンプレミス型で運用されることがほとんどでしたが、昨今は、クラウド型のIT資産管理ツールへの見直しも加速。この流れで、Microsoft社が提供する「Microsoft Intune」の導入を検討する組織が増えています。
このような背景をベースに、本記事では、Microsoft Intuneの概要や機能について触れるとともに、Microsoft IntuneとIT資産管理ツールの違いや選定のポイントをご紹介します。
この記事を要約すると
- Microsoft Intuneはデバイス管理に焦点をあてたクラウドベースのサービスである。
- Azure ADと連携することで、よりセキュアなID及びアクセス管理が可能である。
- Microsoft Intuneの特性上、PC管理を目的に導入されるIT資産管理ツールが一切不要になるとは考えづらい。
Microsoft Intuneとは?概要と特徴
「Microsoft Intune」はクラウドベースで提供されるエンドポイント※1管理サービスです。組織が貸与する業務用デバイスをMicrosoft Intuneの管理下に置くことで、対象端末の情報収集やセキュリティポリシーの適用などが可能です。また、クラウドサービスであることから、社内・社外と端末を使用する場所に拘わらず統合管理が可能です。
※1 エンドポイント
システムやネットワークの終端に位置する要素を「エンドポイント」と呼びます。
文脈によりエンドポイントとなる要素は異なりますが、Microsoft Intuneで管理するエンドポイントはモバイルデバイスやPCなどのクライアント端末を指します。
端末管理
Microsoft Intuneでは、Windows、macOS、iOS、Androidなどの端末を一元管理できます。対象端末のハードウェア情報やインストールアプリの情報を自動取得します。また業務に必要なアプリの配信や不要アプリの利用禁止などを行うことも可能で、いわゆる「IT資産管理」をMicrosoft Intuneで実現できます。
セキュリティ
Windowsを利用する上では欠かせないWindowsアップデートの管理(機能更新プログラム[FU]や品質更新プログラム[QU])、USBメモリなどの記録メディアの利用制限、紛失時に利用するリモートロック・ワイプなど、セキュリティに関連する様々な機能が搭載されています。
また後述するAzure ADとの連携で、条件付きアクセスポリシーの設定など、より高度なセキュリティを実現できます。
Microsoft Intune、Azure AD、Active Directoryの違いとは?
Microsoftから提供されている端末を管理する仕組みとして、「Azure AD」と「Active Directory」も存在します。それぞれの違いについて解説します。
Microsoft IntuneとAzure ADの違い
Azure AD(Azure Active Directory)は、クラウドベースのIDおよびアクセス管理を目的としたサービスです。従業員やパートナー企業のユーザーが、アプリケーションにシングルサインオン(SSO)でアクセスできるようにします。また、マルチファクタ認証(MFA)や条件付きアクセスなどのセキュリティ機能を提供し、企業の情報漏洩リスクを軽減します。Azure ADは、従業員のアクセス権限管理を効率化し、セキュリティを強化することができます。
Microsoft Intuneで管理されたデバイスに対して、Azure ADの「条件付きアクセスポリシー」を適用することで、適切なセキュリティ要件を満たしたデバイスのみが企業のリソースにアクセスできるように制御することができます。
Microsoft IntuneとActive Directoryの違い
Active Directory(AD)は、ネットワーク内のリソース(ユーザーアカウント、コンピューター、グループ、その他のオブジェクト)を管理するためのディレクトリサービスです。ADは、オンプレミス環境で実行されることが一般的であり、企業のユーザーアカウントとパスワードを一元管理し、アクセス権限やグループポリシーを適用することができます。これにより、管理者は、ユーザーがどのリソースにアクセスできるかを制御し、セキュリティを強化することができます。Microsoft Intuneはスマホ、タブレット、PCを管理対象とし、Active Directoryはユーザーアカウント、コンピューター、グループなどのネットワークリソースを管理対象としています。
Microsoft IntuneとActive Directoryは、互いに補完的な役割を果たすことができるため、両方を組み合わせて使用することで、デバイス管理とネットワークリソース管理の両方を効率的に行うことができます。
Microsoft サービスとの連携
Microsoft Intuneは、Microsoftが提供する各サービスと連携することで、セキュリティの向上と管理者の管理工数の軽減も期待できます。ここではMicrosoft Intune とAzure ADの連携についてご紹介します。
Azure ADとの連携
先に述べたようにAzure ADは、Microsoft Intuneに登録されたデバイスを利用するユーザーIDをAzure ADで管理することが可能です。
Azure ADでは、主に下記の機能が提供されています。
・シングルサインオン(SSO)
Azure ADに登録されたアカウントの資格情報を使用して、複数のシステムにログインすることができる仕組みです。
利用者は一度のログイン作業で異なる業務システムへアクセスすることが可能となり、ログインの手間を削減することができます。
また、管理すべきアカウントの個数も削減され、管理負担の軽減に繋がります。
・ワンタイムパスワードや生体認証
現代のサイバー攻撃は高度化が進んでおり、IDとパスワードの組み合わせによる認証では突破されてしまう恐れもあります。
それを防ぐためには、ワンタイムパスワードや生体認証を用いた認証方式を採用することが一般的です。
Azure ADでもワンタイムパスワードと生体認証が提供されており、利用者は自組織に必要な認証方式を採用することが可能です
・ゼロトラストベースのアクセス管理
ゼロトラストとは、現在主流である境界型防御の弱点の克服や、クラウドサービスの安全な活用を見込めるセキュリティの概念です。
これまではオフィスのサーバー室やネットワーク内の領域を守ることを前提としてセキュリティ対策を強化してきました。しかし、テレワークの普及やクラウドサービスの利用などビジネス環境の変化に伴い、社内ネットワークを守れば安心という時代ではなくなりました。
従来の境界型セキュリティの概念だけではなく、守るべき情報資産にアクセスする人や端末を「信用(=trust)せず」、常にその安全性を監視し、セキュリティを担保することが重要になっています。これを実現する一つの方法として、先程ご紹介したAzure ADの「条件付きアクセスポリシー」を適用し、ポリシーに準拠している端末のみ情報資産へのアクセスを認めるなどゼロトラストセキュリティの実現に繋がります。
Microsoft Intuneによる管理のメリット
Microsoft Intuneには以下のメリットがあります。
コスト削減
Microsoft Intune はクラウドで提供されるサービスのため、サーバー調達や構築、日常的な管理が不要です。そのためランニングコストを抑えやすく、利用の開始や中断についても柔軟に判断することができるといったメリットがあります。
対応プラットフォームの多さ
Microsoft Intuneでは、下記のプラットフォームを管理することが可能です。
| Apple | iOS(14.0以降) iPadOS(14.0以降) macOS(11.0以降) |
|---|---|
| Android | Android(8.0以降(Samsung KNOX Standard 3.0以降を含む) Androidエンタープライズ Androidオープンソースプロジェクトデバイス(AOSP)でサポートされているデバイス |
| Linux | GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 22.04.1 LTS GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 20.04 LTS |
| Windows | Windows 11(Home、S、Pro、EducationおよびEnterpriseエディション) Surface Hub Windows 10(Home、S、Pro、EducationおよびEnterpriseバージョン) Windows 365でのWindows 10およびWindows 11クラウドPC Windows 10 Enterprise 2021 LTSC Windows 10 Enterprise 2019 LTSC Windows 10 IoT Enterprise(x86、x64) Windows Holographic for Business Windows 10 Teams(Surface Hub) Windows 10 バージョン1709(RS3)以降、Windows 8.1 RT、Windows 8.1(維持モード)が実行されているPC |
| Chrome | Chrome OS(パブリックプレビュー段階) |
参考:Microsoft公式サイト: Intune でサポートされるオペレーティング システムとブラウザー
一般的な業務で利用するデバイスとしては、ほぼ網羅されていると言っても良いのではないでしょうか。Microsoft Intuneの管理画面より様々なデバイスを管理することができるため、管理者の管理工数の負担を軽減することも期待できます。
Microsoft Intune導入検討時の注意点
ここまで、Microsoft Intuneの概要、利用時のメリットについてご紹介して参りました。冒頭にもご紹介した通り、PCはIT資産管理ツールで、スマホはMDMツールで管理することが一般的だった多くの組織では、今後Microsoft Intuneによるデバイス管理がスタンダードになっていくのでしょうか?
組織が利用するさまざまなサービスのMicrosoft 365への統合が進む中、さまざまな考え方があると思いますが、PC管理のIT資産管理ツールが一切不要になるということは考えづらいと思います。
ここでは、その理由や背景についてご紹介します。
Microsoft サブスクリプションライセンスが必要
Microsoft Intuneを利用するためには、Microsoftが提供するサブスクリプションライセンスが必要です。組織で契約しているMicrosoft 365のライセンスによっては、Intuneがそのまま利用できる場合もあります。
一方、そうでない場合は、契約しているMicrosoft 365のライセンスをアップグレードするなど追加コストが発生するので注意が必要です。Microsoft Intuneでのみ実現できる機能が、組織にとって「必要ない」、もしくは費用対効果に見合わないということであれば、現在利用しているIT資産管理ツールの運用で十分と考えることもできるでしょう。
活用するには一定のスキルが必要となる可能性
Microsoft Intuneは前述したように多数のサービス連携やゼロトラストセキュリティなど、多くの機能が提供されています。
そのため、管理者による操作が意図しない影響を及ぼさないかを十分に注意して作業を実施する必要があります。
利用方法によっては、管理者がMicrosoft Intuneの仕様や仕組みを詳細に理解することが重要になります。
PCの操作ログが取得できない
Microsoft Intuneでは、PCの操作ログ取得は取得できません。「どの部署の、誰が、どのような操作をしているか?」といった操作ログを取得することは、内部統制の観点からも重要です。特に、2022年4月改正の個人情報保護法では、罰則規定の厳罰化や情報漏洩発生時に個人情報保護委員会への報告義務化など、組織はこれまで以上に個人情報や重要データへの保護が求められます。
Microsoft IntuneとLANSCOPE エンドポイントマネージャー クラウド版の比較
コスト・スキル面がクリアになっても、操作ログの取得をクリアできず、結果としてMicrosoft IntuneとIT資産管理ツールを併用して運用する組織がほとんどであることが現状です。
それではMicrosoft IntuneとIT資産管理ツール、それぞれどのような役割を求めるのか。MOTEXが提供する「LANSCOPE エンドポイントマネージャー」と比較しながらご紹介します。
Microsoft IntuneとLANSCOPE エンドポイントマネージャーの比較
■主な項目の比較
| Microsoft Intune | LANSCOPE エンドポイントマネージャー | ||
|---|---|---|---|
| IT資産管理 | デバイス情報の取得・管理 | ◯ | ◯ |
| アプリ配信・利用禁止 | ◯ | ◯ | |
| セキュリティ | 記録メディア制御 | ◯ | ◯ |
| Windowアップデート管理 | ◯ | ◯ | |
| 操作ログ管理 | ✕ | ◯ | |
PC管理に求められるIT資産管理・セキュリティ・操作ログ管理といった大項目で比較すると、IT資産管理・セキュリティにおいてはMicrosoft Intuneでも可能、操作ログ管理はLANSCOPE エンドポイントマネージャーでないと実現不可という形になります。
つまり、IT資産管理・セキュリティなど基本的なデバイス管理をMicrosoft Intuneで行い、内部統制などを目的とした操作ログ管理はエンドポイントマネージャーで行うといった役割の棲み分けになります。
IT資産管理・セキュリティをMicrosoft Intuneに“全振り”しても問題ないか?
それではIT資産管理ツールで、IT資産管理・セキュリティ対策を行っている組織が、その運用をMicrosoft Intuneへ移管しても課題は生じないのでしょうか?これは、現在の運用と照らし合わせ、Microsoft Intuneに切り替えても課題が生じないかを見極めることが必要です。
IT資産管理・セキュリティといった大項目で比較すれば◯✕の差はありませんが、細かいところを見ていくと機能差や仕様差が生まれます。製品が異なるので当たり前ではありますが、Microsoft Intuneに切り替える際には、現運用を維持できるのか、もしくは現運用を変更することになるが問題ないか、こういった点を組織内で合意形成を取っていくことが重要です。
自組織にマッチしたデバイス管理を
ゼロトラストセキュリティの重要性が増していく中、PC・スマホなどエンドポイント管理はこれまで以上に重要になっていきます。Microsoft Intuneは、組織が保有するMicrosoft 365ライセンスによっては追加コストなしで利用できること、条件付きアクセスポリシーなど特長的な機能が備わっている一方で、デメリットも少なからずあることをご紹介しました。言うまでもなく、自社の現運用と今後実現していきたいことを明確にして、製品選定を行うことがポイントです。
エムオーテックスが提供するLANSCOPE エンドポイントマネージャーは、オンプレミス版・クラウド版を提供。特にクラウド版は、オンプレミス版で培ってきた操作ログ取得機能をはじめとするPC管理機能を実装しています。加えて、iOSやAndroidなどスマホの管理も統合できるIT資産管理・MDMツールです。
メーカーシェアNo.1※を獲得し、また、レビュープラットフォーム「ITreview」では、IT資産管理、ログ管理、MDM・EMM、統合運用管理の4部門でLeaderを獲得するなど、お客様からも高い評価をいただいています。
※株式会社テクノ・システム・リサーチが2023年3月に発表した「2023年版 エンドポイント管理市場のマーケティング分析」の「PC資産・PCセキュリティSaaS市場 メーカーシェア 2022年 ブランド別市場シェア」分野
Microsoft Intune を導入したら、IT 資産管理ツールは不要!?
Microsoft Intune・IT 資産管理ツールの比較とLANSCOPE エンドポイントマネージャーの導入事例をご紹介
関連する記事
