Written by 武藤 諒
LANSCOPE エンドポイントマネージャー クラウド版プロダクトマネージャーとして、製品ロードマップの策定や販売計画の立案、マーケティング活動に従事。またMOTEX製品のプロダクトマーケティングにも従事。
目 次
Microsoft Intuneとは?
Microsoft Intuneの機能
Microsoft Intuneの価格
Microsoft Intuneを導入するメリット
Microsoft IntuneとMicrosoft Entra ID (旧Azure AD)の関係
Microsoft IntuneとActive Directoryの違い
Microsoft サービスとの連携
Microsoft Intune導入検討時の注意点
Microsoft IntuneとLANSCOPE エンドポイントマネージャー クラウド版の比較
自組織にマッチしたデバイス管理を
Microsoft Intune を導入したら、IT 資産管理ツールは不要!?
Microsoft Intune・IT 資産管理ツールの比較とLANSCOPE エンドポイントマネージャーの導入事例をご紹介
Microsoft Intune(インチューン)とは、様々なOSのモバイルデバイスとアプリケーションを一元的に管理できるクラウドベースのサービスです。
主な機能としては、以下が挙げられます。
デバイス管理 | OS問わずデバイスを一元管理できる |
---|---|
更新プログラム管理 | Windowsアップデートのスケジュール管理や更新プログラムが未適用のデバイスの抽出などが可能 |
コンプライアンスポリシーの管理 | 企業が設定したセキュリティ要件を登録デバイスに設定できる |
アプリケーション管理 | デバイスにインストールできるアプリを制限できる |
またMicrosoft Intuneは、Microsoft Entra ID (旧Azure AD)と連携することで、セキュリティの向上と管理者の管理工数の軽減も期待できます。
この記事では、Microsoft Intuneの概要や機能、導入するメリットなどについて解説します。
▼この記事を要約すると
- Microsoft Intuneはデバイス管理に焦点をあてたクラウドベースのサービス
- Microsoft Intuneの主な機能としては、「デバイス管理」「更新プログラム管理」「コンプライアンスポリシーの管理」「アプリケーション管理」などが挙げられる
- Microsoft Intuneを導入することで、「デバイスを一元的に管理できる」「コストを削減できる」「セキュリティを強化できる」といったメリットが期待できる
- Azure ADと連携することで、よりセキュアなID及びアクセス管理が可能である
- Microsoft Intuneの導入を検討している方は、「Microsoft サブスクリプションライセンスが必要」「活用するには一定のスキルが必要となる可能性」「PCの操作ログが取得できない」といった点に注意する
Microsoft Intuneとは?
「Microsoft Intune」はクラウドベースで提供されるエンドポイント管理サービスです。
※エンドポイント…システムやネットワークの終端に位置する要素。 文脈によりエンドポイントとなる要素は異なりますが、Microsoft Intuneで管理するエンドポイントはモバイルデバイスやPCなどのクライアント端末を指します。
MDMとMAMの機能を備えており、対象端末の情報収集やセキュリティポリシーの適用、アプリケーションの一元管理などが可能です。
MDM | 法人貸与のデバイスを管理するツール。デバイスの利用制限や、アプリの一括配信等による機能で管理の効率化を実現できる。 |
---|---|
MAM | モバイル端末内のアプリケーションを一元管理できるシステム。 デバイスの中に「仕事用の領域」を設けて、その領域のみを管理できるので、BYODデバイスには最適。 |
また、クラウドサービスであることから、社内・社外と端末を使用する場所に拘わらず統合管理が可能です。
端末管理
Microsoft Intuneでは、Windows、macOS、iOS、Androidなどの端末を一元管理できます。対象端末のハードウェア情報やインストールアプリの情報を自動取得します。また業務に必要なアプリの配信や不要アプリの利用禁止などを行うことも可能で、いわゆる「IT資産管理」をMicrosoft Intuneで実現できます。
セキュリティ
Windowsを利用する上では欠かせないWindowsアップデートの管理(機能更新プログラム[FU]や品質更新プログラム[QU])、USBメモリなどの記録メディアの利用制限、紛失時に利用するリモートロック・ワイプなど、セキュリティに関連する様々な機能が搭載されています。
また後述するAzure ADとの連携で、条件付きアクセスポリシーの設定など、より高度なセキュリティを実現できます。
Microsoft Intuneの機能
Microsoft Intuneの主な機能としては、以下が挙げられます。
●デバイス管理
●更新プログラム管理
●コンプライアンスポリシーの管理
●アプリケーション管理
デバイス管理
Microsoft Intuneは、WindowsやMacOSだけでなく、AndroidやiOSにも対応しているので、OS問わずデバイスを一元管理できます。
更新プログラム管理
Windowsを利用する上では欠かせないWindowsアップデートの管理(機能更新プログラム[FU]や品質更新プログラム[QU])を行うことができます。
具体的には、アップデートのスケジュール管理や更新プログラムが未適用のデバイスの抽出などが可能です。
コンプライアンスポリシーの管理
Microsoft Intuneでは、企業が設定したセキュリティ要件を登録デバイスに設定することができます。
仮にセキュリティ要件を満たしていないデバイスがあった場合、企業のリソースへのアクセスを制限することも可能です。
アプリケーション管理
デバイスにインストールできるアプリを制限するなどアプリケーション管理も行えます。
これにより、フリーソフトを勝手にインストールされる事態を防げるので、マルウェア感染などのリスクを低減できます。
Microsoft Intuneの価格
Microsoft Intuneは、月額1,199円で利用することが可能です。
599円プラスして、「Microsoft Intune プラン 2」を契約すれば、VPN機能やAR/VRヘッドセットなどのデバイス管理機能を追加することも可能です。
また、より高度なセキュリティを実現したいのであれば、「Microsoft Intune Suite」がおすすめです。
「Microsoft Intune Suite」は、「Microsoft Intune プラン 2」の機能に加えて、リモートヘルプ機能やエンドポイント特権管理機能などが利用できます。
Microsoft Intune(1199円) | Microsoft Intune プラン 2(599円) | Microsoft Intune Suite(1499円) | |
---|---|---|---|
Microsoft Intune の中核的な機能 ・クロスプラットフォームのエンドポイント管理 ・組み込みのエンドポイント セキュリティ ・モバイル アプリケーション管理 ・エンドポイント分析 ・Microsoft Configuration Manager2 |
〇 | ||
モバイル アプリケーション管理用 Microsoft Intune Tunnel | 〇 | 〇 | |
Microsoft Intune による特殊デバイスの管理 | 〇 | 〇 | |
Microsoft Intune のファームウェアの無線更新 (FOTA) プログラム | 〇 | 〇 | |
リモートヘルプ | アドオンとして購入可能(524円) | 〇 | |
エンドポイント特権管理 | アドオンとして購入可能(449円) | 〇 | |
高度分析 | アドオンとして購入可能(749円) | 〇 | |
エンタープライズ アプリケーション管理 | アドオンとして購入可能(299円) | 〇 | |
Microsoft クラウド PKI | アドオンとして購入可能(299円) | 〇 |
出典: Microsoft|Microsoft Intune のプランと価格をご紹介します
Microsoft Intuneを導入するメリット
Microsoft Intuneを導入することで、以下のようなメリットが期待できます。
●デバイスを一元的に管理できる
●コストを削減できる
●セキュリティを強化できる
デバイスを一元的に管理できる
Microsoft Intuneの管理画面より様々なデバイスを一元管理することができます。
そのため、管理者の管理工数の負担を軽減することが期待できます。
「Microsoft Intuneの機能」の部分でも少し紹介しましたが、Microsoft Intuneでは、Windows、Android、iPadOS、 Chrome OS など、さまざまなオペレーティングシステム(OS)を管理することが可能です。
▼Microsoft IntuneでサポートされるOS
Apple | iOS(15.x以降) iPadOS(15.x以降) macOS(12.0以降) |
---|---|
Android | Android(8.0以降(Samsung KNOX Standard 3.0以降を含む)) Androidエンタープライズ Androidオープンソースプロジェクトデバイス(AOSP)でサポートされているデバイス |
Linux | GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 22.04LTS GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 20.04 LTS |
Windows | Windows 11(Home、S、Pro、Education、Enterprise、 IoT Enterprise エディション) Windows 10(Home、S、Pro、Education、Enterprise、 IoT Enterprise エディション) Windows 365でのWindows 10およびWindows 11クラウドPC Windows 10 LTSC 2019/2021 (Enterprise および IoT Enterprise エディション) Windows 10 バージョン1709(RS3)以降、Windows 8.1 RT、Windows 8.1(維持モード)が実行されているPC Windows Holographic for Business Surface Hub Windows 10 Teams(Surface Hub) |
Chrome | Chrome OS(パブリックプレビュー段階) |
参考:Microsoft公式サイト: Intune でサポートされるオペレーティング システムとブラウザー
一般的な業務で利用するデバイスは、ほぼ網羅されています。
コストを削減できる
Microsoft Intune はクラウドで提供されるサービスのため、サーバー調達や構築、日常的な管理が不要です。そのためランニングコストを抑えやすく、利用の開始や中断についても柔軟に判断することができるといったメリットがあります。
セキュリティを強化できる
Microsoft Intuneには、リモートワイプ・リモートロック機能があります。
※リモートロック…インターネット回線を通じて遠隔ロックする技術
※リモートワイプ…モバイルデバイスに保存されているデータを、インターネットを通じた遠隔操作によって削除する技術
これにより、デバイスの盗難・紛失時の情報漏洩のリスクを大幅に低減することができます。
また、これまで利用者に依存していた定期的なアップデートを管理者側で行うことができることから、アップデート未適用によるマルウェア感染を防ぐこともできます。
Microsoft IntuneとMicrosoft Entra ID (旧Azure AD)の関係
Microsoft Entra ID (旧Azure AD)は、クラウドベースのIDおよびアクセス管理を目的としたサービスです。従業員やパートナー企業のユーザーが、アプリケーションにシングルサインオン(SSO)でアクセスできるようにします。
また、マルチファクタ認証(MFA)や条件付きアクセスなどのセキュリティ機能を提供し、企業の情報漏洩リスクを軽減します。
このMicrosoft Entra IDとMicrosoft Intuneは統合されています。
つまり、Microsoft Intune にデバイスを登録する際は、Microsoft Entra ID にもデバイスを登録することになります。
Microsoft Intuneで管理されたデバイスに対して、Microsoft Entra IDの「条件付きアクセスポリシー」を適用することで、適切なセキュリティ要件を満たしたデバイスのみが企業のリソースにアクセスできるように制御することができます。
Microsoft IntuneとActive Directoryの違い
Active Directory(AD)は、ネットワーク内のリソース(ユーザーアカウント、コンピューター、グループ、その他のオブジェクト)を管理するためのディレクトリサービスです。
ADは、オンプレミス環境で実行されることが一般的であり、企業のユーザーアカウントとパスワードを一元管理し、アクセス権限やグループポリシーを適用することができます。
これにより、管理者は、ユーザーがどのリソースにアクセスできるかを制御し、セキュリティを強化することができます。
Microsoft Intuneはスマホ、タブレット、PCを管理対象とし、Active Directoryはユーザーアカウント、コンピューター、グループなどのネットワークリソースを管理対象としています。
Microsoft IntuneとActive Directoryは、互いに補完的な役割を果たすことができるため、両方を組み合わせて使用することで、デバイス管理とネットワークリソース管理の両方を効率的に行うことができます。
Microsoft サービスとの連携
Microsoft Intuneは、Microsoftが提供する各サービスと連携することで、セキュリティの向上と管理者の管理工数の軽減も期待できます。ここではMicrosoft Intune とAzure ADの連携についてご紹介します。
Microsoft Entra IDとの連携
先に述べたようにMicrosoft Entra IDは、Microsoft Intuneに登録されたデバイスを利用するユーザーIDを管理することが可能です。
Microsoft Entra IDでは、主に下記の機能が提供されています。
・シングルサインオン(SSO)
Microsoft Entra IDに登録されたアカウントの資格情報を使用して、複数のシステムにログインすることができる仕組みです。
利用者は一度のログイン作業で異なる業務システムへアクセスすることが可能となり、ログインの手間を削減することができます。
また、管理すべきアカウントの個数も削減され、管理負担の軽減に繋がります。
・ワンタイムパスワードや生体認証
現代のサイバー攻撃は高度化が進んでおり、IDとパスワードの組み合わせによる認証では突破されてしまう恐れもあります。
それを防ぐためには、ワンタイムパスワードや生体認証を用いた認証方式を採用することが一般的です。
Microsoft Entra IDでもワンタイムパスワードと生体認証が提供されており、利用者は自組織に必要な認証方式を採用することが可能です
・ゼロトラストベースのアクセス管理
ゼロトラストとは、現在主流である境界型防御の弱点の克服や、クラウドサービスの安全な活用を見込めるセキュリティの概念です。
これまではオフィスのサーバー室やネットワーク内の領域を守ることを前提としてセキュリティ対策を強化してきました。しかし、テレワークの普及やクラウドサービスの利用などビジネス環境の変化に伴い、社内ネットワークを守れば安心という時代ではなくなりました。
従来の境界型セキュリティの概念だけではなく、守るべき情報資産にアクセスする人や端末を「信用(=trust)せず」、常にその安全性を監視し、セキュリティを担保することが重要になっています。
これを実現する一つの方法として、先程ご紹介したMicrosoft Entra IDの「条件付きアクセスポリシー」を適用し、ポリシーに準拠している端末のみ情報資産へのアクセスを認めるなどゼロトラストセキュリティの実現に繋がります。
Microsoft Intune導入検討時の注意点
Microsoft Intuneの導入を検討している方は以下の点に注意しましょう。
Microsoft サブスクリプションライセンスが必要
活用するには一定のスキルが必要となる可能性
PCの操作ログが取得できない
Microsoft サブスクリプションライセンスが必要
Microsoft Intuneを利用するためには、Microsoftが提供するサブスクリプションライセンスが必要です。組織で契約しているMicrosoft 365のライセンスによっては、Intuneがそのまま利用できる場合もあります。
一方、そうでない場合は、契約しているMicrosoft 365のライセンスをアップグレードするなど追加コストが発生するので注意が必要です。Microsoft Intuneでのみ実現できる機能が、組織にとって「必要ない」、もしくは費用対効果に見合わないということであれば、現在利用しているIT資産管理ツールの運用で十分と考えることもできるでしょう。
活用するには一定のスキルが必要となる可能性
Microsoft Intuneは前述したように多数のサービス連携やゼロトラストセキュリティなど、多くの機能が提供されています。
そのため、管理者による操作が意図しない影響を及ぼさないかを十分に注意して作業を実施する必要があります。
利用方法によっては、管理者がMicrosoft Intuneの仕様や仕組みを詳細に理解することが重要になります。
PCの操作ログが取得できない
Microsoft Intuneでは、PCの操作ログ取得は取得できません。「どの部署の、誰が、どのような操作をしているか?」といった操作ログを取得することは、内部統制の観点からも重要です。
特に、2022年4月改正の個人情報保護法では、罰則規定の厳罰化や情報漏洩発生時に個人情報保護委員会への報告義務化など、組織はこれまで以上に個人情報や重要データへの保護が求められます。
Microsoft IntuneとLANSCOPE エンドポイントマネージャー クラウド版の比較
コスト・スキル面がクリアになっても、操作ログの取得をクリアできず、結果としてMicrosoft IntuneとIT資産管理ツールを併用して運用する組織がほとんどであることが現状です。
それではMicrosoft IntuneとIT資産管理ツール、それぞれどのような役割を求めるのか。MOTEXが提供する「LANSCOPE エンドポイントマネージャー」と比較しながらご紹介します。
Microsoft IntuneとLANSCOPE エンドポイントマネージャーの比較
■主な項目の比較
Microsoft Intune | LANSCOPE エンドポイントマネージャー | ||
---|---|---|---|
IT資産管理 | デバイス情報の取得・管理 | ◯ | ◯ |
アプリ配信・利用禁止 | ◯ | ◯ | |
セキュリティ | 記録メディア制御 | ◯ | ◯ |
Windowアップデート管理 | ◯ | ◯ | |
操作ログ管理 | ✕ | ◯ |
PC管理に求められるIT資産管理・セキュリティ・操作ログ管理といった大項目で比較すると、IT資産管理・セキュリティにおいてはMicrosoft Intuneでも可能、操作ログ管理はLANSCOPE エンドポイントマネージャーでないと実現不可という形になります。
つまり、IT資産管理・セキュリティなど基本的なデバイス管理をMicrosoft Intuneで行い、内部統制などを目的とした操作ログ管理はエンドポイントマネージャーで行うといった役割の棲み分けになります。
IT資産管理・セキュリティをMicrosoft Intuneに“全振り”しても問題ないか?
それではIT資産管理ツールで、IT資産管理・セキュリティ対策を行っている組織が、その運用をMicrosoft Intuneへ移管しても課題は生じないのでしょうか?これは、現在の運用と照らし合わせ、Microsoft Intuneに切り替えても課題が生じないかを見極めることが必要です。
IT資産管理・セキュリティといった大項目で比較すれば◯✕の差はありませんが、細かいところを見ていくと機能差や仕様差が生まれます。製品が異なるので当たり前ではありますが、Microsoft Intuneに切り替える際には、現運用を維持できるのか、もしくは現運用を変更することになるが問題ないか、こういった点を組織内で合意形成を取っていくことが重要です。
自組織にマッチしたデバイス管理を
ゼロトラストセキュリティの重要性が増していく中、PC・スマホなどエンドポイント管理はこれまで以上に重要になっていきます。Microsoft Intuneは、組織が保有するMicrosoft 365ライセンスによっては追加コストなしで利用できること、条件付きアクセスポリシーなど特長的な機能が備わっている一方で、デメリットも少なからずあることをご紹介しました。言うまでもなく、自社の現運用と今後実現していきたいことを明確にして、製品選定を行うことがポイントです。
エムオーテックスが提供するLANSCOPE エンドポイントマネージャーは、オンプレミス版・クラウド版を提供。特にクラウド版は、オンプレミス版で培ってきた操作ログ取得機能をはじめとするPC管理機能を実装しています。加えて、iOSやAndroidなどスマホの管理も統合できるIT資産管理・MDMツールです。
メーカーシェアNo.1※を獲得し、また、レビュープラットフォーム「ITreview」では、IT資産管理、ログ管理、MDM・EMM、統合運用管理の4部門でLeaderを獲得するなど、お客様からも高い評価をいただいています。
※株式会社テクノ・システム・リサーチが2023年3月に発表した「2023年版 エンドポイント管理市場のマーケティング分析」の「PC資産・PCセキュリティSaaS市場 メーカーシェア 2022年 ブランド別市場シェア」分野
Microsoft Intune を導入したら、IT 資産管理ツールは不要!?
Microsoft Intune・IT 資産管理ツールの比較とLANSCOPE エンドポイントマネージャーの導入事例をご紹介
関連する記事