スタッフブログ

Microsoft IntuneとWindows 10 Fall Creators Update


お久しぶりです。SCD プラットフォームビジネスユニットエンジニアの新宅です。

台風が2週連続で日本を襲いましたが、青森は被害無く過ごしております。台風が過ぎ去った後、再び急に冷え込んできたせいか、風邪引きが増えているという噂も…。気をつけて過ごしたいものですね。

さて、今回はMicrosoft IntuneとWindows PCとの連携についてです。

Microsoft Intuneとは

Microsoft Intuneというのは、組織内PC・スマホの管理をクラウドベースで行えるサービスです。組織内のWindows Serverマシンで構築される、オンプレミスのActive Directoryと併用することは可能ですが、この話はどのWindowsバージョンを管理するかという話によって、若干変わってきてしまうため、その辺は後述します。

昔Windows XPと7がメインだった頃には、Windows PCの管理機能しかなかったため、Windows Intuneと呼ばれていたようです(結構その当時のインターネット記事は残っています)。最近はiOSやAndroidの端末も増え、組織で管理したいという需要があったために、iOSやAndroidの管理機能も追加され、Microsoft Intuneに名称が変更されたようです(以前にも書きましたが、名称変更はMicrosoftの御家芸です)。

ダウンレベルのWindowsに対するIntuneでの管理

「ダウンレベルのWindows」というのは、「最新版(Windows 10)以外のサポート中のWindowsバージョン」のことを示します。具体的には、現時点で言えばWindows 7とWindows 8.1のことです。

Windows 7やWindows 8.1には、Microsoft Intuneベースでの端末登録・管理機能がOSの標準機能にほとんど含まれていません。そのため、Microsoft Intune用のエージェントをクライアントに導入して登録・管理される必要があります。一応、Windows 10でもこの方法は利用することはできますが、様々な面を考慮すると利用しないことをオススメします。

この場合の主な機能としては、以下の通りです。

Windows Updateの配信管理については、以前こちらの記事にて記載した通りです。

なお、Windows 7にはWindows Defenderが付属していますが、Windows 8以降におけるWindows Defenderとは別物と言っても過言ではありません。正確には検出エンジンはほぼ共通なのですが、Windows Vistaと7では「ウイルス対策」の部分が無く、ただの「スパイウェア対策」でしかありませんでした。
そのため、一般消費者(個人)のPC向けに、正規Windows 7を利用していることを条件に、「Microsoft Security Essentials」というソフトウェアを無償配布しています。組織向けには、スキャン機能が同等で管理情報を組織の管理者が取得できるように変更された「Microsoft Endpoint Protaction」が無償提供されているというわけです。
なお、Windows 8以降では標準のWindows Defenderで対応しているため、別途Endpoint Protactionが適用されることはありません。

Active Directoryと併用する例としては、主にActive Directory側にWSUSやSCCMが無い状態で管理している場合、Windows 7でウイルス対策を確実に有効にしたい場合(検出精度には賛否両論ありますが…)などかと思われます。

Windows 10に対するIntuneでの管理

Windows 10では、OMA-DM(Open Mobile Alliance-Device Management)というモバイルデバイスの管理をするための標準規格に沿った形で、Microsoft Intune連携管理機能が追加されています。

従来の方法(エージェント方式)の利用

勿論従来のエージェントによる方法も利用できますが、以下の面で問題が発生しやすく、推奨できません。

新しい方法(OMA-DM方式)の利用

この従来の方法の代わりに、OMA-DMによる新しい管理方法で管理することで、以下のような機能をサポートしています。

  • Windows Update for Businessの管理(一括ルールによる配信適用)
  • パスワードポリシーの適用・管理
  • Policy CSPによる簡易組織ポリシーの適用・管理
    (ADにおけるグループポリシーの代わりですが、項目数は少なめです)
  • 独自のスタートメニューのタイルレイアウトの配信
  • Windows Analyticsとの連携 etc.

厳密に言えばバージョン間で追加・削除された機能が多くあったりしますが、バージョン1607・1703・1709と大きく機能が異なるバージョン1511以前はサポートが終わっているため、敢えて1511を混在させる必要が無ければ、互換性の面で大きな問題になることはなさそうです(どちらにしても、Policy CSPのかゆいところに手が届かない感じは否めませんが)。

バージョン間で追加・削除された機能については、英語のみですが、こちらのドキュメントを読むといいでしょう。

Windows 10 Fall Creators Updateの新機能

Intuneに関連する目玉となる新機能はこのあたりでしょうか。個人で利用する分には気づきにくいところですが、管理者としては有り難い機能が追加されています。すべてのかゆいところに手が届くようになるまではもう少し掛かりそうです。

  • Updateを許可する週と曜日を指定可能に(第1-4週と曜日ごとの許可・非許可)
  • ディスプレイの電源オフ・スリープ・休止状態に入るまでの時間を指定可能に
  • アカウント関連のセキュリティオプションの多数追加
  • ブラウザのお気に入りのプリセット配信追加
  • Windows Defender関連のUI隠蔽機能追加
  • クライアントでのポリシー適用状態をHTMLでエクスポートする機能の追加

特に最後の「HTMLエクスポート」がテストには便利なものとなっております。モダンなHTMLで出力されるため、かなり見やすくまとまっています。
エクスポート例は以下の3枚の通りです(一部ID情報はマスクしています)。

Enterprise Mobility + Security(EMS)

Azure Active Directory Premium P1とMicrosoft Intuneも相性がよく、この2つを組み合わせることで、Azure AD JoinとMDMデバイス登録を一括で済ませたり、MDMの適用状態による条件付きアクセスを適用したり、ということも可能になります。

Enterprise Mobilty + Security(EMS)は、Azure AD Premium P1とMicrosoft Intune、Azure RMSなどがセットになったサブスクリプションです。E3とE5がありますが、ほとんどはE3で事足りるかとは思います。EMSでの購入がお得でお勧めします。

まとめ

Microsoft IntuneとWindows 10の連携はますますより良いものに改善されてきていますね。中小の企業・組織であれば、オンプレミスのActive Directoryとグループポリシーでの管理から、クラウドのAzure Active DirectoryとMicrosoft Intuneでの管理に移行できそうです。

大企業などの千人規模を超えるようなところであれば、Active Directoryとグループポリシーをメインに据えつつ、Azure Active Directoryと連携するのがベストかもしれません。