Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、WindowsPCデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しないPCに組織のアプリを使用させないといった制約や、組織のPCの各種設定やアプリの導入を制御することができます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium(試用版)
- 管理デバイス環境:Windows 11,10
- Intune管理C アプリ展開設定(MS Store)
- Intune管理C アプリ展開設定(MS 365)
- Intune管理C アプリ展開設定(その他)
- アプリ導入状況の確認
- アプリ管理の各種機能について(補足)
- 2025/04/17追記:デバイス登録制限について(補足)
- おわりに
Intune管理C アプリ展開設定(MS Store)
Microsoft Storeアプリの展開を設定します。対象アプリはAdobe ReaderとCompany Portal(Intune管理アプリ)とSlackとします。
WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[アプリ]を選択し、サブメニューの[プラットフォーム別>Windows]を選択します。
[追加]を選択し、アプリの種類で[ストアアプリ>Microsoft Storeアプリ(新規)]を選択し、画面下の[選択]を押します。
[Microsoft Storeアプリ(新規)を検索する]を選択します。
検索欄に[Adobe]と入力し、検索結果に表示された[Adobe Acrobat Reader DC]を選択し、画面下の[選択]を押します。
[カテゴリ]を適宜選択し、[ポータルサイトでおすすめのアプリとして表示する]で[はい]を選択し、[次へ]を選択します。
[割り当て]画面では、アプリ導入(必須・任意)と削除の対象ユーザーまたはデバイスを設定できます。
Adobe Readerはどのデバイスでも使用する想定とし、[必須]カテゴリの[すべてのデバイスを追加]を選択し、画面下の[次へ]を選択します。
なお、この画面でエンドユーザー通知やインストール期限等も細かく設定できます。
設定内容を確認し、問題なければ[作成]を選択します。
アプリの概要画面に遷移し、ここから各デバイスやユーザーのインストール状態等を確認できるようになります。左上の[Windows|Windowsのアプリ]を選択して、他のアプリの登録を進めます。
同じ要領でSlackを追加します。
Adobe Readerと異なり、[インストールの処理]が選択できるようになっています。ユーザーを選ぶとログインユーザのみ、デバイスを選ぶすべてのユーザー向けにインストールされます。
Slackは導入を必須ではなく任意とし、全デバイスを対象とします([登録済みデバイスで使用可能]カテゴリの[すべてのデバイスを追加]を選択)。
同じ要領でCompany Portalも追加します。
Company Portalはデバイス管理上の問題を確認でき、任意アプリの導入でも使用しますので、導入必須とし全デバイスを対象とします([必須]カテゴリの[すべてのデバイスを追加]を選択)。
Intune管理C アプリ展開設定(MS 365)
ここからはMicrosoft 365アプリの展開を設定します。流れはMS Storeアプリとほとんど変わりません。
これまでと同じWindowsアプリの一覧画面で、[追加]を選択し、アプリの種類で[Microsoft 365アプリ>Windows10以降]を選択し、画面下の[選択]を押します。
[既定のファイル形式]と[更新チャネル]を適宜選択し、その他の項目も必要に応じて設定し、[次へ]を選択します。
Microsoft 365はどのデバイスでも使用する想定とし、[必須]カテゴリの[すべてのデバイスを追加]を選択し、画面下の[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。
Intune管理C アプリ展開設定(その他)
ここからはその他アプリの自動展開を設定します。対象アプリは7-Zipです。
まず、7-Zipの公式サイトから、インストール用のmsiファイルをダウンロードします。
これまでと同じWindowsアプリの一覧画面で、[追加]を選択し、アプリの種類で[その他>基幹業務アプリ]を選択し、画面下の[選択]を押します。
[アプリパッケージファイルの選択]を選択し、ファイル指定アイコンから図表10-1でダウンロードしたファイルを選択し、[OK]を選択します。
[発行元]と[カテゴリ]を適宜入力・選択し、[ポータルサイトでおすすめのアプリとして表示する]で[はい]を選択し、[次へ]を選択します。
7-Zipは任意導入の想定とし、[登録済みデバイスで使用可能]カテゴリの[すべてのユーザーを追加する]を選択し、画面下の[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。
アプリの概要画面に遷移しますので、左上の[Windows|Windowsのアプリ]を選択して一覧画面に戻ります。
アプリ導入状況の確認
Intune管理Cでの確認
引き続きMicrosoft Intune管理センターのWindowsアプリの一覧画面から、アプリの導入状況を確認してみます。
アプリ追加から20~30分もすると、必須導入のアプリの状態が更新されます。
一覧画面のAdobe Reader、Microsoft 365を選択してそれぞれ状態を確認します。
Adobe Readerの状態画面です。
デバイスまたはユーザーの状態の円グラフを選択すると、詳細画面が開き、対象のデバイスやユーザーの状態がわかるようになっています。
Microsoft 365の状態画面です。
デバイス側は保留、ユーザー側はインストール済になっています。
デバイスの方の円グラフを選択して確認したところ、ユーザーなし(PCのローカルユーザのこと)の場合はインストールが保留状態になっていることが分かります。
組織のユーザーに対してはインストール済みになっているため、この状態でも問題ありません。
ユーザー操作 PC上での確認
ユーザーPCに組織のアカウントでサインインして、アプリの状態を確認します。
まず、スタートメニューにアクセスしたところ、必須アプリが導入されていました。
Adobe Readerも起動できました。
Microsoft 365アプリ(初回は組織のアカウントでサインインが必要)と、Company Portal(スタートメニュー上、[ポータルサイト]と表記されたアプリ)も起動できました。
Company Portalを起動したついでに、[おすすめアプリ]画面に表示されている任意導入アプリ[7-Zip]のインストールを試してみます。
[インストール]を選択し、完了するまで待ちます。
スタートメニューから7-Zipを起動できました。
Company Portalの左メニュー[ダウンロードと更新プログラム]を確認すると、インストール済の展開アプリが表示されていました(ただし、Microsoft 365はここに表示されないようです)。
アプリ管理の各種機能について(補足)
Microsoft Intuneのアプリ管理には他にも多くの機能が用意されています。
この例ではアプリ展開のみ使用し、アプリのアクセス制御は第1回で紹介したコンプライアンスポリシーと、第2回で紹介した条件付きアクセスポリシーにて行いました。
今後の記事で私有スマホの業務利用の設定例を紹介しますが、今回使用しなかった一部の機能についても触れる予定です。
2025/04/17追記:デバイス登録制限について(補足)
ユーザーが私物PC等を使って勝手にデバイス登録できないよう制限する方法について、説明が漏れていましたので補足します。
Microsoft Entra管理センターの左メニューの[デバイス>すべてのデバイス]を選択し、サブメニューの[デバイスの設定]を選択し、[ユーザーはデバイスをMicrosoft Entraに参加させることができます]の設定を、[すべて]から選択したユーザーのみ許可または一切許可しないといった設定に変更することで実現できます。
運用例としては、新規の組織内メンバーが組織のPCを使い始める時や、既存の組織内メンバーがPCを入れ替える時に、一時的に許可設定を行う等でしょうか。
おわりに
Intuneのデバイス管理を取り扱い始めた頃、○○ポリシーが沢山あり、どういう順番でどのポリシーで何を設定すれば良いか、全体感が分かり辛く感じました。この経験から、Intuneのデバイス管理を初めて取り扱うならという想定で、第1回の記事の冒頭で順番を含めてどのポリシーで何を設定するかまとめてみました。
機能が沢山あるが故に、順番や設定のパターンをかっちり決めるのも難しいのですが、試してみようかなと思っている方の参考になれば幸いです。
当ブログ内の連載記事
