企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

SKYSEA Client View
IT資産管理
公開日2025.02.27

MDMも行えるMicrosoft Intuneとは? 機能やメリット、注意すべき点を徹底解説

著者:Sky株式会社

MDMも行えるMicrosoft Intuneとは? 機能やメリット、注意すべき点を徹底解説

現代のIT環境は急速に進化しており、企業は多様化するデバイスやアプリケーションの管理を求められています。また、リモートワークの普及により、従業員が組織外から組織内へアクセスするデバイスの数が増加し、セキュリティリスクも高まっています。本記事では、MDM(モバイルデバイス管理)とMAM(モバイルアプリケーション管理)の機能を備えるMicrosoft Intune(マイクロソフトインチューン)の主な機能や導入するメリット、導入時に知っておくべきことなどについて解説します。

Microsoft Intuneとは何か

Microsoft Intune(マイクロソフトインチューン)とは、Microsoft社が提供するクラウドベースのエンドポイント管理ソリューションです。Microsoft Intuneでは、MDM(Mobile Device Management:モバイルデバイス管理)とMAM(Mobile Application Management:モバイルアプリケーション管理)の機能を備えており、さまざまなOSのデバイス(端末)やアプリケーションを一元的に管理することができます。

MDMは、PCや、スマートフォン・タブレット端末などの各種デバイスを一元管理するシステムのことで、不正利用の防止や情報漏洩対策などが行えます。

MAMは、PCや、スマートフォン・タブレット端末などの各種デバイス上で使用するアプリケーションを一元管理・制御するシステムのことで、リモートによるアプリケーションのインストールやアップデート、データ消去などが行えます。

さらにMicrosoft Intuneはほかの製品やサービスと連携することで、IT運用管理を効率化し、情報セキュリティを強化するための強力なツールとなります。Microsoft Intuneを導入することで、より安全で効率的なIT環境を構築することが可能になります。

Microsoft Intuneの主な機能

Microsoft Intuneの機能は、主に「MDM」「MAM」「Windows更新プログラム管理」「情報漏洩対策」「コンプライアンスポリシーの管理」の5つで構成されています。これらの機能を利用して、各種デバイスの管理や情報セキュリティの強化を行います。

1.MDM

MDMは、Mobile Device Management(モバイルデバイス管理)の略称で、従業員が使用するPCやスマートフォン・タブレット端末などのデバイスを一元管理できます。

万が一デバイスが紛失や盗難に遭っても、MDMではリモート操作でデバイスをロックしたり、パスワードをリセットしたりすることができます。また、デバイスの位置情報を追跡し、必要に応じてデータを消去することも可能です。これにより、組織はセキュリティリスクを最小限に抑え、デバイスのデータ保護を強化することができます。

ちなみにMicrosoft Intuneはクラウドベースのサービスのため、インターネットの接続環境があればどこからでもデバイスの管理が可能です。

MDM(モバイルデバイス管理)とは?機能や導入時のポイント、注意点をわかりやすく解説

MDMが注目される背景や、MDMツールの主な機能、選び方を詳しく紹介。適切な運用のための注意点もわかりやすく解説します。

2.MAM

MAMは、Mobile Application Management(モバイルアプリケーション管理)の略称です。従業員が使用するPCや、スマートフォン・タブレット端末などのデバイス上にあるアプリケーションを一元管理できます。

例えば、デバイス内のアプリケーションの利用状況を確認し、アップデートやアンインストールをリモートで行うことができます。継続的なアップデートによる脆弱性対策や不要なアプリケーションの削除などが自席から効率的に行えます。

また、MAMを活用することで、従業員はアプリケーションのアップデート作業などを行わずにすみ、業務の生産性向上につなげることができます。

3.Windows更新プログラム管理

Microsoft Intuneでは、PCにインストールされているWindows OSの更新プログラムの適用状況を管理できます。

Microsoft Intuneはクラウドベースのため、更新プログラムをリモートでデバイスに配布できるほか、適用のタイミングも制御することが可能です。また、指定したデバイスごとに更新プログラムの配布が行えるので、ネットワークの負荷を分散することもできます。

Windowsの更新プログラムの適切な管理を行うことで、組織で管理するデバイスのセキュリティリスクを軽減しつつ、効率的な運用が実現できます。

4.情報漏洩対策

Microsoft Intuneでは、組織で管理するデータのコピー、切り取り、貼りつけなどの操作を制限することで、各デバイスからのデータの不正な持ち出しを防ぐことができます。また、重要データのデバイス内への保存も制限することが可能です。万が一、紛失や盗難被害に遭った際は、デバイス内に保存されたデータをリモート操作で消去することもできます。このようにデバイス内のデータを管理することで情報漏洩を防ぎ、情報セキュリティを強化できます。

5.コンプライアンスポリシーの管理

Microsoft Intuneでは、デバイスに組織のセキュリティ要件に合わせたコンプライアンスポリシーを設定することが可能です。例えば、最低限のOSバージョンやセキュリティ設定を満たしていないデバイスは、メールやその他アプリケーションの利用を制限することが可能です。また、コンプライアンス違反が発生した場合には、ユーザーに通知メールを送信するなどのアクションを設定することもできます。

Microsoft Intuneは、デバイスにコンプライアンスポリシーを設定し、適切に管理することで、組織のセキュリティレベルを一定に保つことができます。

Microsoft Intune を導入するメリット

Microsoft Intuneを組織に導入するメリットは数多くあります。それぞれを詳しく見ていきましょう。

さまざまなOSのデバイスを一元管理できる

Microsoft Intuneは、Windows、macOS、iOS / iPadOS、Android、Linux、ChromeOSといった、さまざまなOS(プラットフォーム)をクラウドベースで一元管理できます。組織内で異なるOSのデバイスを利用していても、Microsoft Intuneを活用することで効率的なデバイス管理が可能となり、組織のセキュリティ強化や管理コストの低減が行えます。

Microsoft Intuneの主な対応OSは、次のとおりです(2024年1月時点)。最新情報は、Microsoft社のWebサイトをご覧ください。

OS バージョン等
Windows ・Windows 10 / 11(Home、S、Pro、Education、Enterprise、IoT Enterprise の各エディション)
・Windows 10 / 11 Windows 365上のクラウド PC
・Windows 10 LTSC 2019 / 2021(EnterpriseおよびIoT Enterpriseエディション)
・Windows 10 バージョン1709(RS3)以降、Windows 8.1 RT、Windows 8.1(維持モード)が実行されている PC
・Windows Holographic for Business
・Surface Hub
・Windows 10 Teams(Surface Hub)
macOS ・macOS 13(Ventura)以降
iOS / iPadOS ・iOS / iPadOS 16.x以降
・macOS 13.x以降
Android ・ユーザーベースの管理方法の場合 : Android 10.0 以降
・ユーザーレス管理方法の場合 : Android 8.0 以降(Samsung KNOX Standard 3.0 以降を含む)
・Android Enterprise : Android 8.0 以降
・Android オープンソース プロジェクト デバイス
Linux ・GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 22.04 LTS
・GNOMEグラフィカルデスクトップ環境を備えたUbuntu Desktop 20.04 LTS
・Ubuntu LTS バージョン 24.04
・RedHat Enterprise Linux 8
・RedHat Enterprise Linux 9
ChromeOS

デバイス内のアプリケーションも管理可能

前述のとおり、Microsoft Intuneはデバイス内のアプリケーションを管理することもできます。管理者は、業務に必要なアプリケーションのみ利用を許可できるほか、アプリケーションのバージョン情報も確認できるため、組織の運用ポリシーに基づいたアップデート管理なども行えます。

デバイスのセキュリティを強化できる

Microsoft Intuneは、企業のポリシーに準拠したデバイス設定を配布し、デバイスが常に最新の更新プログラムや設定を適用していることを確認できます。また、デバイスのセキュリティ状態を監視し、異常が検出された場合にはアラート通知することも可能です。

条件つきアクセスポリシーを設定することで、特定の条件を満たすデバイスのみが特定のリソースにアクセスできるように制限することもできます。企業のデバイスセキュリティを強化し、データ保護とコンプライアンスを確保するのに役立ちます。

クラウドサービスのためサーバー不要

Microsoft Intune はクラウドサービスであるため、サーバーの設置や管理が不要です。そのため、サーバーのメンテナンスにかかる人件費や運用コストが低減できます。

加えて、インターネットに接続されたデバイスを一元管理することができます。このため、アップデートや設定変更を一括適用することを通じてセキュリティポリシーに一貫性を保つことが可能です。

Microsoft Intuneと他製品との関係

Microsoft Intune は、クラウドベースのエンドポイント管理ソリューションとして、Microsoft社のほかの製品と連携しています。特にMicrosoft Intune とMicrosoft Entra ID(旧Azure Active Directory)との関係や、Microsoft Intuneと従来のActive Directoryとの違いについて詳しく説明します。

Microsoft IntuneとMicrosoft Entra IDの関係

Microsoft Entra IDとは、Azure Active Directoryの後継として登場したクラウドベースのディレクトリおよびID管理サービスです。ユーザーIDを管理し、それぞれのユーザーに対してアプリケーションやデータなど各リソースへのアクセスを制御することができます。

Microsoft Entra IDにデバイスを登録すると、そのデバイスは自動的にMicrosoft Intuneにも登録され、両者の連携が開始されます。これにより、シングルサインオン(SSO:Single Sign-On)や多要素認証(MFA:Multi-Factor Authentication)などをデバイスに対して導入でき、デバイス管理のセキュリティと利便性を強化できます。

Microsoft IntuneとActive Directoryの違い

Active Directoryとは、組織内のネットワークで使用するデバイスを管理し、ユーザー認証やグループポリシーを提供するディレクトリサービスです。ネットワーク上のユーザーやコンピューターのセキュリティを確保しますが、オンプレミス環境での利用が前提となっています。

Microsoft Intuneはクラウドベースのサービスで、組織内だけでなく組織外への持ち出すデバイスも一元管理できます。リモートによるセキュリティポリシーの適用も可能です。

企業向けMicrosoft Intuneのプラン

企業向けMicrosoft Intuneの各プランには、組織の規模やニーズに応じて複数のオプションが提供されています。主要なプランと利用できる機能について紹介します(2025年1月現在)。

■Microsoft Intune プラン1

基本的なデバイス管理機能が利用できます。Windows、macOS、iOS、AndroidといったさまざまなOSのデバイス登録、ポリシーの適用、アプリケーションの管理、セキュリティ設定の適用などが可能です。

<機能>

  • Microsoft Intuneの中核的な機能※1
  • Microsoft Intuneのリモートヘルプ※2
  • Microsoft Intuneエンドポイント特権管理※2
  • Microsoft Intune高度分析※2
  • Microsoft Intuneエンタープライズアプリケーション管理※2
  • MicrosoftクラウドPKI※2

<価格> 月額1ユーザーあたり約1,199円(税抜き)

■Microsoft Intune プラン2

Microsoft Intuneプラン1へのアドオンとして利用するプランです。高度なエンドポイント管理機能を利用できます。

<機能>

  • Microsoft Intuneの中核的な機能※1
  • モバイルアプリケーション管理
  • Microsoft Intuneによる特殊デバイスの管理
  • Microsoft Intuneのファームウェアの無線更新(FOTA)プログラム

<価格> 月額1ユーザーあたり約599円(税抜き)

■Microsoft Intune Suite

Microsoft Intuneプラン1へのアドオンとして利用するプランです。Microsoft Intuneプラン2の機能に加えて、さらに高度なエンドポイント管理機能とセキュリティ機能を利用できます。

<機能>

  • Microsoft Intuneの中核的な機能※1
  • モバイルアプリケーション管理
  • Microsoft Intuneによる特殊デバイスの管理
  • Microsoft Intuneのファームウェアの無線更新(FOTA)プログラム
  • Microsoft Intuneのリモートヘルプ
  • Microsoft Intuneエンドポイント特権管理
  • Microsoft Intune高度分析
  • Microsoft Intuneエンタープライズアプリケーション管理
  • MicrosoftクラウドPKI

<価格> 月額1ユーザーあたり約1,499円(税抜き)

最新の価格や各機能の詳細については、Microsoft社のWebサイトをご確認ください。

  • クロスプラットフォームのエンドポイント管理、組み込みのエンドポイントセキュリティ、モバイル アプリケーション管理、エンドポイント分析、Microsoft Configuration Managerが含まれます。
  • アドオンとして購入可能。

Microsoft Intuneの導入の流れ

Microsoft Intuneの大まかな導入手順は次のとおりです(2025年1月時点)。各手順の詳細は、マイクロソフト社のWebサイトをご覧ください。

Microsoft Intuneのセットアップ

  • Microsoft Intuneにサインアップする
  • ユーザーをMicrosoft Intuneに追加する
  • Microsoft Intuneでグループを作成する
  • ライセンスを管理する など

アプリケーションの追加、構成、保護

  • Microsoft Intuneにアプリケーションを追加する
  • アプリケーションごとに構成ポリシーを設定する

コンプライアンスポリシーの計画

  • 組織のデータを保護するためのコンプライアンスポリシーを計画・構成する

デバイス機能の構成

  • ネットワークやメールなどの設定を構成する
  • デバイスのセキュリティ機能を設定する

デバイスの登録

  • Windows / macOS / Linux / iOS / iPadOS / Androidなど、各OSのデバイスを登録する

導入を検討する際に知っておくべきこと

Microsoft Intuneの導入を検討する際は、いくつかのポイントを知っておく必要があります。詳しく見ていきましょう。

デバイスの登録が必要

Microsoft Intuneでデバイスを管理するには、あらかじめデバイスをMicrosoft Intuneに登録する必要があります。登録方法はデバイスのOSによって異なります。

例えば、macOSやiOS、iPadOSの場合は、Apple Business Managerを利用して登録を行います。デバイスが初めて起動されたときに自動的にMicrosoft Intuneに登録され、管理できるようになります。Android OSの場合はAndroid Enterpriseを利用して登録を行います。Android Enterpriseを利用することで、企業のポリシーに従ったデバイス管理が可能となり、セキュリティやアプリケーションの配布が効率的に行えるようになります。

管理者は各OSに適した登録方法をあらかじめ理解しておくことで、Microsoft Intuneによるデバイス管理をより効率的に進められます。

配布できないアプリケーションがある

Microsoft Intuneはデバイスやアプリケーションを効率的に管理するためのツールですが、すべてのアプリケーションを配布することはできません。導入する際は、配布できないアプリケーションが存在することを理解しておく必要があります。

配布できないアプリケーションには、例えば以下のようなものがあります。

  • Microsoft Storeのアプリケーション:
    Microsoft Storeから直接ダウンロードするアプリケーションは、Microsoft Intuneを通じて配布できない場合があります。
  • サイレントインストールに対応していないWindowsのアプリケーション:
    サイレントインストールに対応していないアプリケーションはユーザーの操作を必要とするため、Microsoft Intuneによる自動配布が行えない場合があります。
  • 特定の依存関係を持つアプリケーション:
    特定の依存関係を持つアプリケーションは、ほかのソフトウェアやライブラリが事前にインストールされていることを前提としているため、Microsoft Intuneで配布できないことがあります。
  • 特定のカスタム設定が必要なアプリケーション: 一部のアプリケーションは、特定のカスタム設定や構成が必要です。設定がMicrosoft Intuneの標準機能ではサポートされていない場合、アプリケーションの配布が制限されることがあります。
  • ライセンス制約のあるアプリケーション:
    一部のアプリケーションは、ライセンスの制約により、特定の方法でのみ配布が許可されています。

これらのアプリケーションはMicrosoft Intuneでの配布が制限される場合があるため、事前に配布可能なアプリケーションの種類や設定方法を十分に理解しておくことが大切です。

デバイスの操作ログは取得できない

Microsoft Intuneには、デバイスの操作ログを取得する機能はありません。そのため、ユーザーがどのアプリケーションを使用したか、どのファイルにアクセスしたか、どのWebサイトを閲覧したかといった詳細な操作履歴を確認することはできません。Microsoft Intuneは主に、デバイスの管理やセキュリティポリシーの適用、アプリケーションの配布などを目的としています。セキュリティやコンプライアンスの観点から操作ログの取得が必要な企業においては、ほかのログ管理ソリューションを導入する必要があります。

専門知識やITスキルが必要

Microsoft Intuneによるデバイス管理やセキュリティポリシーの設定、アプリケーションの配布などには、一定の専門知識が求められます。また、WindowsやMac、Androidといった異なるOSのデバイス設定や、組織内のさまざまなシステムに関するITスキルも必要になります。

Microsoft Intuneを効果的に運用するためには、IT運用管理の担当者がMicrosoft Intuneの仕組みを十分に理解し、適切なグループ構造や組織のポリシーに合う設定などを行う能力が求められます。ほかのMicrosoft社のサービスと連携させる際にも、複数のサービスを統合するための高度なスキルが必要といえます。

まと

ここまで、Microsoft Intuneの主な機能や導入するメリット、導入時の注意点などについて解説しました。企業のITインフラはますます複雑化しており、セキュリティ対策や運用管理の重要性が一層高まっています。Microsoft Intuneを活用することで、組織で利用するさまざまなデバイスを一元管理できるほか、情報セキュリティを強化することができます。とはいえ、導入・運用には一定の専門知識が必要という側面もあります。

クライアント運用管理ソフトウェア「SKYSEA Client View」の「M1 Cloud Edition」は、国内で開発・販売を行うクラウドベースのIT運用管理サービスです。初めてでも直感的に操作できる使いやすさにこだわった管理画面を搭載し、専門的な知識がなくても安心して利用できるのが特長です。

機能面においても、PCやスマートフォン・タブレット端末などのデバイスを一元管理でき、アプリケーションの利用状況の確認やリモートによる一括配布も行えます(※1)。加えて、Microsoft Intuneにはないログ管理機能も搭載しており、PCの日々の挙動をログとして収集・閲覧することで、情報漏洩につながるリスクを早期発見することができます。初めてIT運用管理サービスを利用される方に最適といえるSKYSEA Client View M1 Cloud Edition。ぜひ導入をご検討ください。

※1 スマートフォン・タブレット端末などモバイル端末の運用管理機能は、MDMオプションとして提供しています。

クライアント運用管理ソフトウェア「SKYSEA Client View M1 Cloud Edition」とは

組織を取り巻く情報漏洩リスクに備えた、端末1台から始められるIT運用管理サービスです。インターネット環境さえあればすぐに利用でき、端末のエージェントも自動でアップデート。専門的な知識がなくても、手軽に導入・運用いただけるのが特長です。