導入後の運用管理

デバイスのセキュアな管理・運用に向けて、クラウド管理のツールであるMicrosoft Intune等を活用してWindows 11端末の運用管理が可能です。

1：デバイスのステータス確認

クラウド管理を行うためには、デバイスがどういう状態なのかリアルタイムで判断できることが重要です。Microsoft Endpoint Managerでは、デバイスのステータスをさまざまな観点からチェックできます。

例えば、トラブルシューティングの一環で対象PCの情報を確認したい場合、今までは資産管理システムを使用していましたが、Microsoft Endpoint Managerを活用すれば利用者のインストール済みアプリや現在のハードウェア情報まで一括して確認できます。

さらに、Microsoft Defender for EndpointとMicrosoft Endpoint Managerの連携により、ウイルスに感染している可能性が高いリスクあるPCの検出やウイルス定義ファイルの最新更新時間等、セキュリティ対策観点からPCのステータスを確認することができます。

セキュリティシステムと資産管理システムをそれぞれ別々な会社の製品を導入している場合は、管理画面は統一されていません。その場合、情報システム管理者は必要に応じて異なる管理画面に接続が必要となり、作業としては非効率になります。

しかし、Microsoft Endpoint Managerであれば、管理画面一つでセキュリティ含めた最新のPC状態を確認することができるため、情報システム管理者の運用負荷削減とトラブルシューティング発生時の迅速な対応が行えます。

また、社内外を問わないハイブリッドワーク環境下においてもセキュリティ対策製品を最新の状態に維持する運用が実現できるため、日々進化しているウイルス等の脅威から端末を保護することができます。

2：リモート操作

Microsoft Intuneなら、Windows 11の端末に対してリモートで以下のような命令を実行できます。代表的な機能を紹介します。

①リタイア（セレクティブワイプ）

Microsoft Intune管理下から解除します。解除後、デバイスがインターネットに接続されている状態であれば、Microsoft Intuneから配信したアプリ データ、デバイス設定等が削除されます。リタイアは主にデバイスの紛失時やトラブルシュートの他、端末を別の利用者に譲渡する際に行うことがあります。

②ワイプ

デバイスを工場出荷状態にします。
ワイプはリタイア(セレクティブワイプ)とは異なり、フルワイプとなります。
したがって、利用者がデバイスを紛失しMicrosoft Intune管理外のローカル領域に機密情報等があった際に、端末内のすべてのデータを削除することを目的に活用できます。

③削除

Microsoft Intune管理下からデバイス情報を削除します。削除後はリタイア同様にMicrosoft Intuneから配信したデータは削除されますが、削除タイミングは次回チェックイン時に適用されます。
不要となったデバイスを削除（管理対象外）することも可能ですが、基本的にはリタイアまたはワイプ等のリモート操作を行うことが一般的です。

④リモートロック（iPhone/Android）

ロック画面に強制的に遷移させ、第三者の利用を防止します。
本機能は、iPhone/Androidのみの機能となります。利用者がデバイスを紛失してしまった時に対応するリモート操作の一種です。リモートロックを使用するとロック画面に強制的に画面を遷移するため、第三者による利用を防止します。これは会社データの削除(リタイア/ワイプ)判断までの処置となるため、すでにデバイスが警察署等で見つかっている場合に行う操作です。
※ただし、企業によっては紛失した時点でリタイアまたはワイプする運用も考えられるため、あくまで一例となります。

⑤同期

Microsoft Intuneとデバイスを同期します。ポリシー設定後に最新状態を適用したい場合に実施します。ただし、同期は8時間に一度の間隔で行われるため、クラウド側で設定した内容がすぐに反映されない点には注意が必要です。

⑥その他

その他OSへの依存や特定条件を満たした場合に実施できる機能があります。例えば、iOS/iPad OSの監視モード機能を利用することで、デバイス検索や再起動等のオプション機能が利用可能です。

3：リモートヘルプ

リモートヘルプは、IT管理者またはサポートスタッフが利用者のデバイスにリモート接続することができる機能です。アプリケーションのアップデートや入れ替えやOSのバージョンアップ等、IT管理者から複数ステップの作業を利用者に依頼することがあります。このようなケースにおいて、IT管理者は利用者側で発生したトラブルでヘルプを求められるケースがあるのではないでしょうか。IT管理者が利用者の画面を見ながら遠隔操作を行うことで迅速な解決ができるのがリモートヘルプの機能になります。

リモートヘルプでは、Microsoft Intuneを導入している組織のWindows 10またはWindows 11のデバイスにおいて、IT管理者、またはサポートスタッフが、利用者のデバイスにリモート接続でき、従来から提供されているクイックアシストと比較してセキュリティが強化されました。トークン情報に加えて、Azure Active Directory (Azure AD)と連携して権限設定を行うことができるため、よりセキュアな状態を確立してリモート接続が可能です。

リモートヘルプは、専用のアプリケーションをお互いがインストールしている状態から以下の手順を踏むことでリモート制御が開始されます。なお、リモートヘルプの利用には、Microsoft Intuneのプレミアムアドオン機能のライセンスが必要です。

IT管理者は、Microsoft Endpoint Managerからセキュリティコード（トークン）を設定して、サポートするユーザーに共有することができます。

4：アップデート管理

Microsoft Intune管理下にあるWindows 11端末は、Windows Update for Business機能を利用して更新プログラムのインストールを管理できます。

具体的にMicrosoft Intuneからパッチ適用を制御する方法としては、現時点（2022年6月）では更新リングと、各更新プログラム(機能/品質)の組み合わせによって展開タイミングを管理することができます。

更新リングについて

更新リングとは、更新プログラムのポリシーを適用する展開グループの概念であり、先行グループで品質更新プログラム（セキュリティ系）を適用して検証したり、特定のグループには機能アップデートの適用を遅らせたりできます。
Microsoft Intuneには、これまでWSUSやMicrosoft Endpoint Configuration Manager (MECM) 旧名称SCCM等で行ってきたグループ単位の配信機能だけではなく、リモート操作による「一時停止」「アンインストール」「延長」の機能も用意されています。
更新プログラムを受信しないような構成を、レジストリやGPO（グループポリシー）等でポリシー展開することも可能です。
また、配信後のトラブル時もユーザーによるアンインストール操作は必要ありません。Microsoft Intuneの管理画面からコントロールすることができます。

•一時停止：更新リング単位で更新プログラムの受信を最大35日停止する機能
•延長：一時停止期間中に実行することで停止期間を再度35日にリセットできる機能
•アンインストール：最新の更新プログラムをアンインストールできる機能
※機能更新プログラムの場合、インストールからポリシーで指定した2～60日までの更新プログラムのみアンインストールできます。指定した経過日数を超えるものはアンインストールできません。

各ポリシーはユーザーグループまたはデバイスに対して適用できるため、あくまで一例ですが、以下のように計画的な展開が行えます。

なお、機能/品質更新プログラムはそれぞれリリース以降に延長期間を指定でき、品質は30日間、機能は180日間延長して適用を遅らせることが可能です。

5：組織のメッセージ

Microsoft Intuneの「組織のメッセージ」の機能を利用することで、対象となるWindows 11デバイスの利用者や部署を指定して、アップデートの案内やシステムメンテナンスの告知を出す等、あらかじめ配信日時を設定し、適切なタイミングで対象者に伝えることができます。

メールやチャットで組織内の利用者に告知することは可能ですが、メールやチャットメッセージでは見落としや、利用者の設定によっては通知OFFの設定をしているケースもあります。そのような場合、計画とおりにアプリケーションのアップデートや入れ替えが進まないことも想定されます。結果として、組織でのシステム脆弱性への対応が遅れてしまい、セキュリティのリスクが増加してしまいます。

本機能では、下図のように通知領域に直接メッセージの表示が可能なので、利用者が気づかないというリスクを低減することができます。また、既読確認も設定できますので伝達状況を把握することも可能です。たとえば、部署ごとに異なったe-ラーニングの案内、締め切り通知、組織全体へのサーバー停止案内等での利用が考えられます。

なお、本機能は2023年2月時点ではパブリックプレビューとなっており、Windows 11 22H2のバージョンが対象となります。

このような利用シーンで活用できます

• 
  配信スケジュール設定が可能
  たとえば、特定のアプリケーションを使用する部署だけにアップデートの案内やシステムメンテナンスの告知を出す等、テレワーク環境が普及した現在でも適切なタイミングでスケジュール配信することができます。
• 
  オンボーディングのサポートに最適
  「開始アプリ」メッセージを作成することで、セットアップ時に利用者に読んでもらいたいマニュアルやルールが記載されたページへのリンクを追加できます。オンボーディング時に利用者のサポートをすることで、IT管理者への問合せ対応を減らすことができます。
• 
  送信対象の利用者やグループを選択
  部署ごとに異なったe-ラーニングの案内、締め切り通知、各部で利用している業務アプリケーションのアップデート案内等ができます。また、組織全体へのサーバー停止案内等も可能です。

6：セキュリティ強化

Windows Autopilotでは、信頼されたハードウェアベンダーから調達した機器を利用者が受け取り、電源を入れて簡単なセットアップを行うだけで、企業が設定したポリシーの適用、およびアプリケーションのインストールを実現します。マイクロソフト社のセキュリティ機能でもあるMicrosoft Defender for Endpointや生体認証等のセキュリティ対策も初期セットアップで完了するため、デバイスセキュリティが担保されます。
クラウド管理では単に生産性を高めるだけでなく、セキュリティ強化にもつながります。

Microsoft Intuneは、モバイルデバイス管理（MDM）とモバイルアプリケーション管理（MAM）に重心を置いたクラウドベースのサービスです。現在では、モバイルデバイスだけにとどまらず、WindowsやMacOS等PCを含めたマルチデバイスに対応しており、モバイルデバイス管理に劣らないほどの優れた機能が搭載されています。

Azure ADはクラウドベースのID、およびアクセス管理サービスです。クラウド及びオンプレミスアプリケーションで単一のIDシステムを提供します。

オンプレミスで利用しているActive Directoryのクラウド版と認識される場合がありますが、Active DirectoryとAzure Active Directoryは全くの別物であることを認識する必要があります。

Microsoft Endpoint Managerは物理・仮想を問わず、すべてのエンドポイントを管理するための統合エンドポイント管理プラットフォームです。
従来、オンプレミスのPC管理を行う際には、多くの利用者がマイクロソフト社の提供するMicrosoft Endpoint Configuration Manager（MECM）を利用していました。
しかし、Microsoft Endpoint Managerによって、IT管理者はMECMとクラウドベースでデバイスを管理するMicrosoft Intuneを統合管理できるようになりました。

Microsoft Defender for Endpointは強力な脅威インテリジェンスにより、調査や高度な脅威への対応を支援するために開発されたエンドポイントセキュリティプラットフォームです。サーバセキュリティはいたちごっこの世界であり、どれだけ最新のセキュリティ対策を行うかが重要と考えられます。
Microsoft Defender for Endpointは日々機能が進化しており、EDR（エンドポイント検出と対応）以外にもさまざまな機能が搭載されています。
・脅威と脆弱性の管理
・攻撃面の減少
・次世代の保護
・エンドポイントでの検出と対応
・調査と修復の自動化
・セキュリティスコア化
・Microsoft脅威エキスパート※
※セキュリティについて、専門家レベルの監視と分析を提供するサービス