導入の全体像
| Step | 内容 | 期間目安 |
|---|---|---|
| 1 | 前提条件の確認(ライセンス・Entra ID・自動登録) | 1日 |
| 2 | デバイス登録の設定(Entra Join / Autopilot) | 1〜2日 |
| 3 | コンプライアンスポリシーの設定 | 1〜2日 |
| 4 | 構成プロファイルの設定 | 2〜3日 |
| 5 | アプリケーション配布の設定 | 1〜2日 |
Step 1:前提条件の確認
- ライセンス:Business Premium / E3 / E5、またはIntune Plan 1のスタンドアロンライセンス
- Entra ID自動登録:Entra ID管理センター →「モビリティ(MDMおよびMAM)」→ Microsoft Intune → MDMスコープを「すべて」に設定
- DNSの確認:EnterpriseEnrollment.ドメイン名 のCNAMEレコードを設定(Autopilot使用時)
Step 2:デバイス登録の設定
- Entra Join方式:PCセットアップ時(OOBE)に組織アカウントでサインイン→自動登録
- Autopilot方式:ハードウェアハッシュをIntune管理センターに登録→PCの電源ON→自動設定完了
- 既存PC:設定→アカウント→「職場または学校にアクセス」→「接続」→「このデバイスをEntra IDに参加させる」
💡 パイロット展開を推奨
最初は5〜10台の検証機でポリシーをテストし、問題がないことを確認してから全社展開します。いきなり全社適用すると「業務に支障が出るポリシー」が発覚して混乱を招きます。
Step 3:コンプライアンスポリシー
「準拠デバイス」の条件を定義します。非準拠デバイスはM365へのアクセスがブロックされます。
| 設定項目 | 推奨値 |
|---|---|
| OSの最小バージョン | Windows 10 22H2以上(Windows 11推奨) |
| BitLocker暗号化 | 必須 |
| ファイアウォール | 有効必須 |
| ウイルス対策 | 有効必須 |
| Defender for Endpoint | リスクスコア「中」以下 |
| 非準拠時のアクション | 5日間猶予→アクセスブロック |
Step 4:構成プロファイル
- Wi-Fi設定:社内Wi-Fiの自動接続設定を配布
- BitLocker:ディスク暗号化を強制有効化、回復キーをEntra IDに保存
- Windows Hello for Business:PIN/生体認証によるパスワードレスサインインを有効化
- 制限設定:USBストレージの無効化(必要に応じて)、カメラ制限等
Step 5:アプリケーション配布
- Microsoft 365 Apps:Office アプリをIntune経由でサイレントインストール。更新チャネルを月次エンタープライズに設定
- 業務アプリ:MSI/EXEパッケージ、またはWin32アプリとして登録・配布
- Microsoft Store:新しいMicrosoft Storeアプリの直接配布が可能
まとめ
Intune導入は前提条件確認→デバイス登録→コンプライアンス→構成プロファイル→アプリ配布の5ステップで進めます。パイロット展開でテストしてから全社展開することが成功の鍵です。