デバイス管理の全体像
Intuneのデバイス管理はデバイスの登録→ポリシー適用→継続監視→リモートアクションの4フェーズで運用します。管理対象のデバイスは「準拠」「非準拠」のステータスで監視され、非準拠デバイスにはアクセス制限や通知が自動的に適用されます。
OS別の登録方式
| OS | 組織所有デバイス | 個人デバイス(BYOD) |
|---|---|---|
| Windows | Entra Join+自動登録、Autopilot | Entra Register+MAM |
| iOS/iPadOS | Apple Business Manager+自動登録(DEP) | ポータルサイトアプリで登録、またはMAMのみ |
| Android | Android Enterprise 完全管理型 | 仕事用プロファイル(個人/仕事のデータ分離) |
| macOS | Apple Business Manager+自動登録 | ポータルサイトアプリで登録 |
コンプライアンス管理
コンプライアンスポリシーで「準拠デバイスの条件」を定義し、条件付きアクセスと連携して「非準拠デバイスはM365にアクセスさせない」制御を実現します。
- Windows:OS更新、BitLocker暗号化、ファイアウォール、Defender有効化
- iOS:OS最小バージョン、脱獄検知、パスコード設定
- Android:OS最小バージョン、root化検知、デバイス暗号化
非準拠デバイスが検出された場合の段階的アクション(通知→アクセス制限→リタイア)も設定できます。
リモートアクション
| アクション | 内容 | 用途 |
|---|---|---|
| リモートワイプ | デバイスを工場出荷状態に初期化 | 紛失・盗難時の情報漏洩防止 |
| 選択的ワイプ | 組織データのみ削除(個人データは保持) | BYODの退職処理 |
| リモートロック | デバイスを即座にロック | 紛失時の一時的な対応 |
| パスコードリセット | デバイスのパスコードをリセット | パスコード忘れ対応 |
| BitLocker回復キー取得 | 暗号化の回復キーをIntuneから取得 | BitLockerロック解除 |
| デバイスの同期 | 最新のポリシーを即座に適用 | ポリシー変更の即時反映 |
BYOD対応
個人デバイスはMAM(モバイルアプリ管理)を使い、デバイス全体ではなくアプリレベルで管理します。
- 業務アプリ(Outlook、Teams等)内のデータをコピー・貼り付け禁止
- 業務アプリにPIN/生体認証を要求
- 退職時に業務データのみ選択的ワイプ(個人の写真やLINEは影響なし)
まとめ
Intuneのデバイス管理は組織所有デバイスのMDM管理とBYODのMAM管理を使い分けます。条件付きアクセスと連携することで「準拠デバイスのみM365にアクセス可能」という強力なセキュリティを実現できます。