Intune のリモートワイプとリモート パスコードリセット機能は「会社所有端末」のみを対象に発行できるようになります

こんにちは。Microsoft Intuneサポートチームです。 このブログ記事では 2018 年 10 月に導入された Intune 管理ポータルの動作仕様変更についてお知らせします。 この記事は Intune で BYOD 端末を管理する管理者の方々に影響があります。 ※ デバイスのユーザーや会社所有端末のみを管理する管理者には影響ありません。   <<仕様変更の内容>> Intune のリモートワイプとリモート パスコードリセット機能は「会社所有端末」のみを対象に発行できるようになります。 これまでは、両機能ともに「個人所有端末」に対しても Intune 管理ポータルから発行可能でした。 2018 年 10 月以降は、「会社所有端末」に対しては、リモートワイプとリモート パスコードリセットを発行するボタンが表示されますが、「個人所有端末」に対してはボタンがグレーアウトされて発行できません。   ・会社所有端末の場合のボタン表示   ・個人所有端末の場合のボタン表示   ※ iOS と Android が対象になります。なお、Android 7.0 以降のデバイスではパスコード リセット機能自体が提供されておらず利用できません。   <<BYOD 端末にリモートワイプ・リモート パスコードリセットを発行するには>> 一度デバイスを「会社所有端末」に変更すると、ボタンを押すことができるようになります。 所有権の変更は、Intune 管理ポータルの [デバイス] – [すべてのデバイス] – <対象デバイスをクリック> -…


デバイスに適用されないiOSやAndroidポリシーのトラブルシューティング

こんにちは。Microsoft Intuneサポートチームの中村です。   ユーザーが、iOSやAndroidのポリシーをデバイスに展開したのに、デバイスに適用されないという問題を抱えているのを見かけます。しかしそれは、ポリシーがOSのバージョンとデバイスの種類と互換性がないか、ポリシーがユーザーまたはデバイスに対して誤ってターゲット設定されているという単純な原因によるものかもしれません。これを解決する別の方法は、以下に記載したトラブルシューティングの手順に従うことです。     1) ユーザーを選択したら、Intuneライセンスとアカウント状態が緑色のチェックで表示されていることを確認します。 2) 同じページのデバイスで、トラブルシューティングするデバイスを探し、管理者にMDMまたはEAS/MDMが表示されていることを確認します。もしこれらの項目が表示されない場合、そのデバイスは登録されていません。登録されるまでコンプラインアンスポリシーまたは構成ポリシーを受信しないでしょう。アプリ保護ポリシー(MAMポリシーとしても知られています)では、登録は必要ありません。 3) Azure ADの結合の種類がワークプレースを表示していることを確認します。もし未登録と表示されているようでしたら、登録中に問題を発生している可能性があります。デバイスの登録を解除して再登録すると、この問題が解決されます。 4) Intuneに準拠しているとAzure AD に準拠しているが、はいと表示されていることを確認します。いずれかの項目にいいえと表示されている場合は、以下の問題の1つを示唆している可能性があります。 ・デバイスが、組織のコンプライアンスポリシーで定義された要求を満たしていない。 ・デバイスがIntuneサービスに接続されていない。 5) 最後のチェックインに、最近の日時が表示されていることを確認します。デバイスは少なくとも8時間ごとにIntuneで確認します。もし最後のチェックインから24時間以上経過していたら、デバイスに問題が生じている可能性があります。チェックインできないデバイスは、Intuneからポリシーを受信することが出来ません。デバイスを強制的にチェックインさせるためには、デバイスのOSに一致する以下の一連の手順に従ってください。これらのステップはどのデバイスからも実行可能です。 6) a. Androidに対してはCompany Portal appを開いて、デバイスを選択する > リストから問題のデバイス > デバイス設定の確認     b. iOSに対してはCompany Portal appを開いて、デバイスを選択する > リストから問題のデバイス > 設定の確認     c. Windowsに対してはデバイスの設定を開き、アカウントを選択する > 職場または学校にアクセス>該当する接続 > 情報 > 同期 7) デバイスのポリシーの詳細を見るためにデバイスを選択します。 8) デバイス >…


Microsoft Intune の「制限付きアプリ」と「アプリの表示/非表示」機能について

※ 2018/9/26 追記 「制限付きアプリ」機能がコンプライアンス ポリシーの機能として復活し、利用できるようになりました。(iOS と Android Enterprise) これにより、指定したアプリがインストールされている端末を「非準拠」と見なすことができます。   こんにちは。Microsoft Intune サポート チームです。 iOS を利用するユーザーから「端末で使用を許可/禁止するアプリを指定したい」という要望が多くあがります。 今回はそのための機能について説明します。 iOS 用のデバイス制限プロファイルでは、一見類似する 2 つの設定項目があります。 それが「制限付きアプリ」と「アプリの表示/非表示」機能です。 このうち「制限付きアプリ」機能は現在利用されておらず、「アプリの表示/非表示」機能を利用する必要があります。   ——————————- ■ アプリの表示/非表示機能 ——————————- 「アプリの表示/非表示」機能は、iOS 端末上に表示されるアプリを制限する機能です。 ※ この機能を利用するには、iOS 端末を「監視モード」に設定する必要があります。 ホワイトリスト形式で、指定したアプリだけが表示されるようにしたり、ブラックリスト形式で指定したアプリを非表示にすることができます。 この機能で非表示状態になったアプリは、iOS 画面にアプリのアイコンが表示されないだけでなく、実際にそのアプリを使用することができません。 例えば、Word アプリを非表示にした場合、Outlook アプリに添付された Word ファイルを Word アプリで開くことができなくなります。 「アプリの表示/非表示」の設定画面はこのようになっています。 [アプリ URL] または [アプリ バンドル ID] でアプリを特定していますので、この 2 つのいずれかを正確に入力します。 ・App Store…


[iOS] 保護されたアプリから Teams アプリへ投稿されたファイルが開けない問題について

こんにちは。Microsoft Intune サポート チームです。 iOS のアプリ保護ポリシーで保護されたアプリから Teams アプリへファイルを投稿した際に、Teams アプリ側でファイルが開けなくなる問題について、ユーザーへの注意喚起のためブログ記事を公開します。   ※ 2018/10/17 追記 こちらの問題はアプリに内蔵される Intune MAM SDK のバージョンアップにより解消しています。 現在は Teams アプリに転送されたファイルを開くことができています。   Intune SDK がインテグレートされたアプリ保護ポリシーを適用することで、企業領域に保存されたデータを暗号化された安全な状態で閲覧することができます。 OneDrive・Teams・Word・Excel・PowerPoint といった Office 365 アプリはこの機能に対応していますが、現在 Teams アプリへデータを受け渡すとファイルが正しく閲覧できない状態になる問題があります。 具体的には、アプリ保護ポリシーで保護された OneDrive 等のアプリから、[別のアプリで開く]  [別のアプリで送信する]  機能を使ってファイルを Teams アプリに投稿すると、「この<ファイル名>は破損しています」と表示されて Teams アプリ側でそのファイルを開くことができません。 現行バージョンの Teams for iOS アプリのエクステンションに関する問題と考えられますので、Teams アプリ側で修正が行われるまでこの問題に注意しつつ運用を行ってください。


ハイブリッド モバイル デバイス管理から Azure 上の Intune への移行をお願いします

こんにちは。Microsoft Intune サポート チームです。 System Center Configuration Manager と Microsoft Intune ハイブリッド構成機能の廃止スケジュールについてお伝えします。 2018 年 8 月 14 日付けで、以下の公開情報がリリースされております。   ・Hybrid MDM の公式ドキュメント (英語版) https://docs.microsoft.com/en-us/sccm/mdm/understand/hybrid-mobile-device-management   ・US Intune サポート チームのブログ https://blogs.technet.microsoft.com/intunesupport/2018/08/14/move-from-hybrid-mobile-device-management-to-intune-on-azure/   本ブログ記事では、公式ドキュメントの内容の抄訳をご案内します。   【重要】 2018 年 8 月 14 日時点で、ハイブリッド モバイル デバイス管理機能は廃止対象機能となりました。 1 年以上前に Azure 上の Intune がリリースされて以降、Intune には数百もの顧客の要望に応える機能や、業界最先端のサービスが追加されました。 Azure 上の Intune はより統合された合理的な管理エクスペリエンスを提供することで、企業のモバイル ニーズに応えます。  …


[Intune] 今後の Microsoft Intune での Windows 10 管理について

こんにちは。Microsoft Intune サポート チームです。 今回は Intune の PC エージェントで Windows 10 を管理しているユーザー向けに、今後の MDM への移行を見据えたご案内をいたします。 現在の PC エージェント管理から、より先進的な MDM への移行をご検討ください。     ——————————————— ■ Intune の PC エージェント管理の歴史 ——————————————— Microsoft Intune (旧称 Windows Intune) が 2011 年 4 月に PC 向けの管理サービスとしてリリースされてから 4 年が経過しました。 当時の Intune は MDM (モバイル デバイス管理) 機能を持たず、Windows XP・7 を対象に PC エージェントによる管理を提供していました。   Intune…


[Intune|Configuration Manager]中間証明機関 (中間 CA) のある環境で iOS に証明書を配布する場合の注意点

こんにちは。Intune サポート チームです。 InTune と Configuration Manager で証明書を配布するというシチュエーションはよくありますよね。PKCS または SCEP で配布することができます。 もし、「検証環境ではうまくいったのに、本番環境ではうまくいかない」という問題に遭遇したら、本番環境には「中間 CA」があることが理由かもしれません。 中間 CA がある場合の iOS 証明書配布のポイントについてご紹介します。   ■ 中間 CA 証明書は配布する必要はありません 結論から言いますと、中間 CA がある場合でも中間 CA 証明書は利用しません。使用するのはルート CA の証明書だけです。 iOS の仕様上、ルート CA 証明書と中間 CA 証明書を両方配布してしまうと、PKCS・SCEP 証明書の配布が上手くいきません。考えてみれば、iOS には Windows のように「信頼されたルート証明機関」と「中間証明機関」のような証明書ストアの違いは無いですよね。 Configuration Manager における SCEP 証明書配布の画面を例に、正しい設定内容を紹介いたします。   ■ 設定例の紹介 [1] 配布する証明書一覧 以下の通り、配布するのはルート CA 証明書と SCEP 証明書のプロファイルのみで問題ありません。…


PowershellでMicrosoft Graph APIを通じてソフトウェア インベントリを取得する方法について

こんにちは。 本日は、Microsoft Graph API で Intune に登録されている各デバイスのソフトウェア インベントリを取得する PowerShell スクリプトを紹介致します。 前回のブログでは、Microsoft Graph API を使うアプリの登録、そしてアクセス許可の調整についてご紹介しておりますので、まだご覧になっていない方は是非こちらをご参照ください!   ソフトウェア インベントリを取得するには、こちらのスリプトをダウンロードします。前回のスクリプトと同じく、clientID の値を有効なアプリケーション ID と入れ替えてください。アクセス許可を調整したい場合は必ず登録したアプリのアプリケーション ID をご入力ください。本スクリプトを PowerShell から実行することで、各デバイスで検出されたアプリを表示できます。   なお、本情報の取得には次の Microsoft Graph のアクセス許可が必要となります: Read Microsoft Intune Devices (DeviceManagementManagedDevices.Read.All) Microsoft Graph API の次の URI が使用されます: 1)https://graph.microsoft.com/beta/managedDevices ― すべてのデバイスの情報を取得します。 2)https://graph.microsoft.com/beta/managedDevices/{deviceID} ― ユーザー ID を取得するために一台のデバイスの情報を抽出します。 3)https://graph.microsoft.com/beta/managedDevices/{deviceID}/detectedApps ― 一台のデバイスを ID で検索し検出されたアプリを抽出します。   Windows Azure Active Directory…


PowershellでMicrosoft Graph APIを使う方法について

こんにちは。 本日は、Microsoft Graph APIの使い方についてご紹介いたします。   (1)事前準備 ~初めてのGraph API~ Microsoft Graph API(旧Office 365 Unified API)によって、Azure AD、Intune、Excel など、様々なプラットフォームから、1 つのパス(URI)を使ってデータにアクセスをすることができるようになりました。従来の Office 365 API を使用する場合は、Office Graph REST API、Outlook REST API、OneDrive REST API など、複数のエンドポイントを呼び出すことがありましたが、Microsoft Graph API で単一のエンドポイントから幅広くクラウド リソースをご利用いただけます。様々なエンドポイントをまとめる API になっていますので、リソースごとのアクセス トークンの取り直しが不要であり、しかも、リソースに対するアクセス許可をより細かくコントロールすることも可能です。 早速、本機能の使用方法についてご紹介していきます。 まずは Azure で Microsoft Graph API を使用するアプリを登録する必要があります。Azure AD の認証も必要となりますので、管理者として PowerShell を実行し、「Install-Module AzureAD」か「Install-Module AzureADPreview」を実行しモジュールをインストールしてください。Powershell v4.0 が必要最小限ですので、PowerShell のバージョンもご確認ください。 アプリを登録する際は、テナントの管理者アカウントで実行するか、Azureメニューでの「ユーザーとグループ」>「ユーザー設定」の「ユーザーはアプリケーションを登録できる」という設定を有効にする必要があります。 Azure Portal…


2016/11/3 更新 Microsoft Intune 会社のポータル アプリの最新版に関する不具合について

2016年11月3日更新 ————————————————– 2016年11月2日に不具合を修正した最新版の会社のポータル アプリがリリースされました。事象に伴い、ポータル アプリのアップデートを行っていなかった、端末に関しましては最新版をインストールすることで問題なく運用可能なことを確認しております。このたびは大変ご迷惑をお掛けいたしました。 ————————————————– こんにちは、 Microsoft Intune サポートチームの村田です。 現在、Microsoft  Intune に登録された iOS 端末におきまして、Microsoft Intune 上よりモバイル アプリケーション管理 (MAM) ポリシーとともに配布しております、 Outlook、OneDrive など、Office 関連のアプリケーションを起動すると突然ワイプされた状態になってしまうというお問合せを多数頂戴しております。 本事象の詳細につきまして、以下に説明いたします。 ### 発生した事象の詳細 ### Microsoft Intune 管理コンソール上より iOS 端末に対し、 MAM ポリシーとともに Outlook、OneDrive などの Office アプリケーションを配布している環境において、アプリを起動した際に「ワイプに関するアラート」メッセージが表示され、アプリがシャットダウンし、再度起動した際には、サインインを求められる状態となります。 ### 本事象の原因について ### 本事象につきましては、2016年10月27日にリリースされました最新版の Intune 会社のポータル アプリ (バージョン : 2.1.24) に起因する事象として、弊社においても認識しております。 現在本事象について調査を進めるとともに、修正版の会社のポータル アプリのリリースに向けて改修を進めております。 大変恐れ入りますが、Microsoft Intune 管理者様におきましては、最新版の Intune 会社のポータル…